KR102545705B1 - DDoS 공격의 탐지 및 방어 시스템 및 그 방법 - Google Patents

DDoS 공격의 탐지 및 방어 시스템 및 그 방법 Download PDF

Info

Publication number
KR102545705B1
KR102545705B1 KR1020220032310A KR20220032310A KR102545705B1 KR 102545705 B1 KR102545705 B1 KR 102545705B1 KR 1020220032310 A KR1020220032310 A KR 1020220032310A KR 20220032310 A KR20220032310 A KR 20220032310A KR 102545705 B1 KR102545705 B1 KR 102545705B1
Authority
KR
South Korea
Prior art keywords
server
address
source
packet
login
Prior art date
Application number
KR1020220032310A
Other languages
English (en)
Other versions
KR20220170738A (ko
Inventor
김응노
조주영
Original Assignee
(주) 뉴엔네트웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 뉴엔네트웍스 filed Critical (주) 뉴엔네트웍스
Priority to KR1020220032310A priority Critical patent/KR102545705B1/ko
Publication of KR20220170738A publication Critical patent/KR20220170738A/ko
Application granted granted Critical
Publication of KR102545705B1 publication Critical patent/KR102545705B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명에 의하면, DDoS 공격 탐지 및 방어 시스템은, 서비스 서버와, 서비스 사용자가 회원 가입된 사용자임을 확인하는 로그인 서버와, 서비스 서버로 발송된 사용자의 패킷을 모니터링하여, 서비스 서버로의 DDoS 공격을 차단하는 방화벽 서버를 포함할 수 있다. 로그인 서버는 로그인 서버로 발송된 사용자의 패킷들 중 적어도 일부로부터 출발지 IP 주소를 추출하여 이를 상기 방화벽 서버에 전송하고,방화벽 서버는 서비스 서버로 발송된 사용자의 패킷으로부터 출발지 IP 주소를 추출하여, 추출된 출발지 IP 주소가 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트에 없으면 상기 서비스 서버로 발송된 사용자의 트래픽을 비정상 트래픽으로 판단할 수 있다.

Description

DDoS 공격의 탐지 및 방어 시스템 및 그 방법 {SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF}
본 발명은 분산서비스거부(Distributed Denial Of Service, DDoS) 공격의 탐지 및 방어 시스템 및 그 방법에 관한 것으로서, 보다 구체적으로는 소정 서비스 사용 유저의 로그인 데이터를 기초로 DDoS 징후를 보다 정확하고 빠르게 파악하여 대응할 수 있는 DDoS 공격의 탐지 및 방어 시스템 및 그 방법에 관한 것이다.
분산 시스템들의 증가와 인터넷의 확산으로 인하여 네트워크를 통한 공격의 가능성은 점점 늘어나고 있다. 잠재적인 공격의 위협으로부터 시스템을 보호하기 위해서 방화벽(Firewall)과 같은 보안 시스템들을 설치하고 있다. 그러나, 기존의 보안 장치들은 지역 네트워크 경계를 넘어선 탐지가 불가능하고, 네트워크 차원의 효율적이고 적극적인 대응이 불가능하다.
인터넷에서 발생하는 많은 종류의 공격을 방어하기 위해 방화벽과 같은 보안 기술들이 점차 발전하고 있지만 이러한 기술들의 발전에도 불구하고 DDoS 공격의 위협은 크게 증가하고 있다. 가장 큰 이유 중 하나는, DDoS 공격이, 하나의 PC가 다수의 IP 주소를 변조하여 특정한 호스트를 공격하는 방식에서 벗어나서, 공격자가 하위에 수많은 공격 에이전트(좀비 PC)를 만들어 특정한 호스트를 상대로 동시에 많은 패킷을 전송하여 서비스 불능 상태로 만드는 방식으로 진화하고 있기 때문이다. 이러한 DDoS 공격 방식에서는, 하나의 PC에서 다수의 IP 주소가 변조되는 것이 아니라, 각각의 좀비 PC마다 해당되는 IP 주소가 사용되기 때문에, IP 주소의 변조 여부로 DDoS 공격을 탐지하기는 어렵고, 네트워크 트래픽을 분석하여 DDoS 공격 여부를 탐지하게 된다. 예컨대, 시간 당 트래픽 수가 임계치를 넘어선다면, 이는 DDoS 공격의 악성 트래픽으로 판단될 수 있다.
그러나, 이러한 트래픽 분석에 따른 DDoS 공격 탐지 방법은, DDoS 공격자가 시간 당 트래픽 수를 줄이는 등 트래픽 생성 패턴을 교묘히 바꿀 수 있다는 점에서 그 탐지에 한계가 있으며, 많은 양의 트래픽을 분석해야 하는 바, 탐지하는데 시간이 오래 걸리고, 그에 따라 DDoS 공격에 빠르게 대응하기 어려운 문제가 있다.
특허 출원 번호: 10-2010-0121547
본 발명은 이러한 문제점을 해결하기 위한 것으로서, 소정 서비스 사용자의 로그인 데이터를 기초로 DDoS 징후를 보다 정확하고 빠르게 파악하여 대응할 수 있는 DDoS 공격의 탐지 및 방어 시스템 및 그 방법을 제공하는 것을 목적으로 한다.
또한, 본 발명은 로그인 시도 패턴에 따라 DDoS 공격의 악성 트래픽 판단 기준을 선택할 수 있게 함으로써, 관리자가 상황에 따라 여러 각도로 DDoS 공격을 탐지할 수 있는 DDoS 공격의 탐지 및 방어 시스템 및 그 방법을 제공하는 것을 목적으로 한다.
또한, 본 발명은 로그인 시도 패턴에 따라, DDoS 공격의 탐지를 위한 악성 트래픽 기준과, 차단 정책이 적용되는 악성 트래픽 기준을 선택할 수 있게 함으로써, 관리자가 상황에 따라 DDoS 공격에 대해 유연하게 대처할 수 있는 DDoS 공격의 탐지 및 방어 시스템 및 그 방법을 제공하는 것을 목적으로 한다.
본 발명의 일 실시예에 따르면, DDoS 공격 탐지 및 방어 시스템이며, 서비스 서버와, 사용자의 회원 가입 여부를 확인하는 로그인 서버와, 상기 서비스 서버로 발송된 사용자의 패킷을 모니터링하여, 상기 서비스 서버로의 DDoS 공격을 차단하는 방화벽 서버를 포함할 수 있다. 상기 로그인 서버는 로그인 서버로 발송된 사용자의 패킷들 중 적어도 일부로부터 출발지 IP 주소를 추출하여 이를 상기 방화벽 서버에 전송하고, 상기 방화벽 서버는 상기 서비스 서버로 발송된 사용자의 패킷으로부터 출발지 IP 주소를 추출하여, 추출된 출발지 IP 주소가 상기 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트에 없으면 상기 서비스 서버로 발송된 사용자의 트래픽을 비정상 트래픽으로 판단할 수 있다.
또한, 상기 방화벽 서버는, 상기 추출된 출발지 IP 주소가 상기 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트에 있으면 상기 서비스 서버로 발송된 사용자의 트래픽을 정상 트래픽으로 판단할 수 있다.
또한, 상기 방화벽 서버로 전송되는 출발지 IP 주소는 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷의 출발지 IP 주소일 수 있다.
또한, 상기 방화벽 서버로 전송되는 출발지 IP 주소는 로그인 서버에 로그인을 완료한 패킷의 출발지 IP 주소일 수 있다.
또한, 상기 방화벽 서버로 전송되는 출발지 IP 주소는 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷의 출발지 IP 주소일 수 있다.
또한, 상기 방화벽 서버로 전송되는 출발지 IP 주소는 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷의 출발지 IP 주소일 수 있다.
또한, 상기 방화벽 서버로 전송되는 출발지 IP 주소는, (1) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷, (2) 로그인 서버에 로그인을 완료한 패킷, (3) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷, (4) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷 중 적어도 하나를 만족하는 패킷의 출발지 IP 주소일 수 있다.
또한, 상기 로그인 서버는 출발지 IP 주소와 함께 로그인 시도 패턴 정보를 방화벽 서버에 전송하고, 상기 로그인 시도 패턴 정보는, 방화벽 서버로 전송되는 출발지 IP 주소가, (1) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷, (2) 로그인 서버에 로그인을 완료한 패킷, (3) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷, (4) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷 중 어느 패킷을 만족하는 패킷의 출발지 IP주소인지에 대한 정보를 포함할 수 있다.
또한, 상기 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트는, 관리자에 의해 선택된 로그인 시도 패턴에 상응하는 출발지 IP 주소의 리스트일 수 있다.
또한, 적어도 비정상 트래픽의 양을 기초로 DDoS 공격 여부를 판단할 수 있다.
또한, 시간당 비정상 트래픽 양이 소정 임계치를 넘어서면 DDoS 공격으로 판단할 수 있다.
또한, 본 발명의 또 다른 실시예에 따르면, DDoS 공격 탐지 및 차단 방법이며, 로그인 서버로 발송된 사용자의 패킷들 중 적어도 일부로부터 출발지 IP 주소를 추출하여 이를 방화벽 서버에 전송하는 단계와, 방화벽 서버에서, 서비스 서버로 발송된 사용자의 패킷으로부터 출발지 IP 주소를 추출하는 단계와, 서비스 서버로 발송된 사용자의 패킷으로부터 추출된 출발지 IP 주소가 상기 방화벽 서버로 전송된 출발지 IP 주소의 리스트에 없으면, 상기 서비스 서버로 발송된 사용자의 트래픽을 비정상 트래픽으로 판단하는 단계와, 적어도 비정상 트래픽의 양을 기초로 DDoS 공격 여부를 판단하는 단계를 포함할 수 있다.
또한, 상기 추출된 출발지 IP 주소가 상기 방화벽 서버로 전송된 출발지 IP 주소의 리스트에 있으면, 상기 서비스 서버로 발송된 사용자의 트래픽을 정상 트래픽으로 판단하는 단계를 더 포함할 수 있다.
또한, 상기 방화벽 서버로 전송되는 출발지 IP 주소는 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷의 출발지 IP 주소일 수 있다.
또한, 상기 방화벽 서버로 전송되는 출발지 IP 주소는, (1) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷, (2) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷, (3) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷, (4) 로그인 서버에 로그인을 완료한 패킷 중 적어도 하나를 만족하는 패킷의 출발지 IP 주소일 수 있다.
또한, 상기 로그인 서버는 출발지 IP 주소와 함께 로그인 시도 패턴 정보를 방화벽 서버에 전송하고, 상기 로그인 시도 패턴 정보는, 방화벽 서버로 전송되는 출발지 IP 주소가, (1) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷, (2) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷, (3) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷, (4) 로그인 서버에 로그인을 완료한 패킷 중 어느 패킷을 만족하는 패킷의 출발지 IP주소인지에 대한 정보를 포함할 수 있다.
또한, 상기 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트는, 관리자에 의해 선택된 로그인 시도 패턴에 상응하는 출발지 IP 주소의 리스트일 수 있다.
또한, 시간당 비정상 트래픽 양이 소정 임계치를 넘어서면 DDoS 공격으로 판단할 수 있다.
본 발명의 일 실시예에 따르면, 소정 서비스 사용자의 로그인 데이터를 기초로 DDoS 공격을 보다 정확하고 빠르게 탐지하여 대응하는 것이 가능하다.
또한, 본 발명의 일 실시예에 따르며, 로그인 시도 패턴에 따라 DDoS 공격의 악성 트래픽 판단 기준을 선택할 수 있게 함으로써, 관리자가 상황에 따라 여러 각도로 DDoS 공격을 탐지하는 것이 가능하다.
또한, 본 발명의 일 실시예에 따르면, 로그인 시도 패턴에 따라, DDoS 공격의 탐지를 위한 악성 트래픽 기준과, 차단 정책이 적용되는 악성 트래픽 기준을 선택할 수 있게 함으로써, 관리자가 상황에 따라 DDoS 공격에 대해 유연하게 대처하는 것이 가능하다.
도 1은 본 발명의 일 실시예에 따른 DDoS 공격의 탐지 및 방어 시스템을 도시한다.
도 2는 본 발명의 일 실시예에 따른 방화벽 서버의 구성도이다.
도 3은 본 발명의 일 실시예에 따른 DDoS 공격 탐지 및 방어 방법을 나타내는 흐름도이다.
이하, 첨부된 도면을 참조하여 본 발명에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
본 명세서에서 사용되는 "포함한다(comprises)", "포함하는(comprising)"은 언급된 구성 요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성 요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
또한, 본 발명에서 사용되는 제1, 제2 등과 같이 서수를 포함하는 용어는 구성 요소들을 설명하는데 사용될 수 있지만, 구성 요소들은 용어들에 의해 한정되어서는 안 된다. 이와 같은 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만 사용된다. 또한, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 실시예를 상세하게 설명한다. 본 발명의 구성 및 그에 따른 작용 효과는 이하의 상세한 설명을 통해 명확하게 이해될 것이다.
도 1은 본 발명의 일 실시예에 따른 DDoS 공격의 탐지 및 방어 시스템을 도시한다. 도 1에 따르면, 본 발명의 일 실시예에 따른 DDoS 공격의 탐지 및 방어 시스템은 로그인 서버(130), 방화벽 서버(140), 서비스 서버(150)를 포함한다.
포털 서비스 사업자와 같이 사용자에게 복수의 서비스를 제공하는 경우, 각각의 서비스 서버(150)에 대하여 로그인 서버(130)를 두기 보다는, 복수의 서비스 서버에 대하여 공통의 로그인 서버(130)를 두는 것이 일반적이다(여기서, 공통의 로그인 서버라 함은 복수의 서비스 서버에 대하여 기능적으로 공통의 로그인 서버를 둔다는 의미이며, 물리적으로 단일의 서버를 둔다는 의미는 아님). 로그인 서버(130)는 사용자의 회원 가입 여부를 확인한다. 서비스 서버(150)는 서비스마다 제공될 수 있다. 예컨대, 메신저 서비스 서버, 음성/영상 통화 서비스 서버, (블로그, 까페와 같은) 커뮤니티 서비스 서버가 서비스 서버(150)에 해당될 수 있다.
통상적으로 DDoS 공격은 이러한 서비스 서버(150)를 대상으로 한다. 즉, 좀비 PC(120)가 서비스 서버에 접속하는 경우, 앞서 서술한 바와 같이 좀비 PC(120)는 출발지 IP 주소를 변조하지 않기 때문에 TCP 3-way hand shaking이 정상적으로 이루어지게 되는 바, SYN Cooki 방화벽으로는 좀비 PC에 의한 DDoS 공격을 탐지하기 어렵고, 네트워크 트래픽(예컨대, 시간 당 트래픽 생성양)을 분석하여 DDoS 공격 여부를 탐지하게 되는데, 이는 DDoS 공격 여부를 조기에 탐지하는데 한계가 있다.
본 발명은 서비스 사용자의 로그인 데이터를 이용하여 DDoS 공격 여부를 조기에 탐지한다.
본 발명에서는, 로그인 서버(130)에 DDoS 공격이 아닌 정상적으로 로그인 시도를 한 패킷의 출발지 IP 주소로 서비스 서버(150)에 접속하는 트래픽은, DDoS 공격이 아닌 정상적인 트래픽으로 판단한다.
여기서, 로그인 서버(130)에 접속되는 패킷들 중 어떤 패킷을 DDoS 공격이 아닌 정상적으로 로그인 시도를 한 패킷으로 판단할 지에 대한 기준은 아래와 같을 수 있다.
예컨대, 본 발명의 제1 기준에 따르면, 통상적으로 좀비 PC(120)는 서비스 서버에 DDoS 공격을 시도하며, 로그인 서버(130)에는 DDoS 공격을 하지는 않으며, 정상 PC(110)는 서비스 서버(150) 접속 이전에 로그인 서버 접속 이력이 있는 점을 감안하여, 로그인 서버(130)에 접속하여 TCP 3-way hand shaking이 이루어진 패킷을 정상적으로 로그인 시도를 한 패킷으로 판단할 수 있다. 이러한 경우, 로그인 서버(130)에 접속하여 TCP 3-way hand shaking이 이루어진 패킷의 출발지 IP 주소로 서비스 서버(150)에도 접속하였다면, 이 트래픽은 DDoS 공격이 아닌 정상적인 트래픽으로 판단될 수 있다.
또한, 본 발명의 제2 기준에 따르면, 좀비 PC(120)가 로그인 서버(130)에 먼저 접속한 후, 서비스 서버(150)에 DDoS 공격을 시도하는 경우도 있을 수 있는 점을 감안하여, 로그인 서버(130)로 발송된 사용자의 패킷이 로그인 서버(130)로의 통신을 위한 통신 프로토콜을 따르고 있는 경우, 이러한 패킷을 로그인 서버(130)에 정상적인 로그인 시도를 한 패킷으로 판단할 수 있다. 일반적으로, 서비스 사용자 단말은 메신저 서버, 음성/영상 통화 서버와 같은 서비스 서버에 통신하기 위한 앱(예컨대, 메신저 앱)이 설치되어 있다. 이러한 앱 설치 이후, 앱과 서비스 서버(150) 사이의 통신(구체적으로는, 패킷)은 서비스 서버에서 제공하는 소정의 통신 프로토콜을 따른다. 좀비 PC(120)의 경우 변조되지 않은 출발지 IP 주소로 서비스 서버(150)에 접속하긴 하지만, 좀비 PC(120)가 서비스 사용자 단말의 소정 앱을 장악하여 이 앱을 통해 소정의 통신 프로토콜을 따르는 패킷을 서비스 서버(150)에 송신하기는 현실적으로 어려울 수 있다. 따라서, 로그인 서버(130)로 발송된 사용자의 패킷을 분석하여 이 패킷이 로그인 서버(130)로의 통신을 위한 통신 프로토콜을 따르고 있는 경우, 이러한 패킷을 로그인 서버(130)에 정상적인 로그인 시도를 한 패킷으로 판단할 수 있다.
또한, 본 발명의 제3 기준에 따르면, 로그인 서버(130)로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합이면, 이러한 패킷을 정상적으로 로그인 시도를 한 패킷으로 판단할 수 있다. 위와 같은 기준에 따르면, 사용자가 비밀번호 내지 아이디를 정확히 입력하지는 못했지만 적어도 비밀번호 내지 아이디 입력을 시도한 패킷에 대해서도, 로그인 서버에 정상적인 로그인 시도를 한 패킷에 포함될 수 있다.
또한, 본 발명의 제4 기준에 따르면, 로그인 서버(130) 접속 후 로그인 서버(130)에 올바른 아이디 및 비밀번호를 포함하는 패킷이 전송되어 로그인이 완료된 경우의 패킷을 정상적으로 로그인 시도를 한 패킷으로 판단할 수 있다. 이러한 경우, 로그인이 완료된 패킷의 출발지 IP 주소로 서비스 서버(150)에도 접속하였다면, 이 트래픽은 DDoS 공격이 아닌 정상적인 트래픽으로 판단될 수 있다.
로그인 서버(130)는 로그인 서버(130)에 정상적인 로그인 시도를 한 패킷의 출발지 IP 주소를 실시간으로 방화벽 서버(140)로 전송한다. 예컨대, 로그인 서버(130)가 제1 기준을 따른다면, 로그인 서버(130)에 접속하여 TCP 3-way hand shaking이 이루어진 패킷의 출발지 IP 주소를 방화벽 서버(140)로 전송하게 된다.
로그인 서버(130)는 제1 기준 내지 제4 기준 중 어느 하나에 따른 패킷에 대하여 출발지 IP 주소를 방화벽 서버(140)로 전송하는 것으로 구현될 수 있지만, 제1 기준 내지 제4 기준 중 어느 하나라도 만족하는 패킷에 대하여 출발지 IP 주소가 방화벽 서버(140)로 전송되는 것으로 구현될 수도 있다. 이러한 경우, 로그인 서버(130)는 추출된 출발지 IP 주소와 함께 로그인 시도 패턴 정보를 함께 방화벽 서버(140)로 전송할 수 있다. 예컨대, 전송 패킷의 로그인 시도 패턴 정보 필드는 아래 기준에 따라 기재될 수 있다.
1) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷: 1
2) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜(예, HTTP, SSL, 자체 프로토콜 등)을 따르는 패킷: 2
3) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷: 3
4) 로그인 서버에 로그인을 완료한 패킷: 4
예를 들어, 해당 패킷이 1), 2)를 만족하는 경우, 로그인 시도 패턴 정보는 "12"로 기록될 수 있으며, 해당 패킷이 1)만을 만족하는 경우, 로그인 시도 패턴 정보는 "1"로 기록될 수 있다.
도 2는 본 발명의 일 실시예에 따른 방화벽 서버(140)의 구성도이다. 도 2를 참조하면, 방화벽 서버(140)는, 데이터베이스로서, 출발지 IP 주소 리스트(141), 정상 IP 주소 리스트(142), 비정상 IP 주소 리스트(143)를 포함할 수 있으며, 기능적으로는 패킷 미러부(144), 패킷 분석부(145), DDoS 공격 탐지부(146), 및 트래픽 제어부(147)를 포함할 수 있다.
방화벽 서버(140)는 로그인 서버(130)로부터 전송받은 출발지 IP 주소를 실시간으로 출발지 IP 주소 리스트(141)에 저장한다. 제1 기준 내지 제4 기준 중 어느 하나라도 만족하는 패킷에 대하여 출발지 IP 주소가 방화벽 서버(140)로 전송되는 경우, 즉 로그인 시도 패턴 정보가 출발지 IP 주소와 함께 방화벽 서버(140)로 전송되는 경우에는, 출발지 IP 주소와 함께 로그인 시도 패턴 정보도 출발지 IP 주소 리스트(141)에 저장된다.
또한, 방화벽 서버(140)의 패킷 미러부(144)는, 서비스 서버(150)로 접속하는 사용자 트래픽을 모니터링하기 위해, 서비스 서버(150)로 접속하는 사용자 트래픽의 패킷을 미러링한다.
패킷 분석부(145)는 미러링된 패킷을 분석하여, 해당 패킷의 트래픽이 정상적인 로그인 시도를 거친 트래픽인지, 아니면 정상적인 로그인 시도를 거치지 않은 트래픽인지를 판단하고, 정상적인 로그인 시도를 거친 트래픽의 출발지 IP 주소는 정상 IP 주소 리스트(142)에 저장하고, 정상적인 로그인 시도를 거치지 않은 트래픽의 출발지 IP 주소는 비정상 IP 주소 리스트(143)에 저장한다.
본 발명의 일 실시예로서, 해당 패킷의 트래픽이 정상적인 로그인 시도를 거친 트래픽인지 여부는, 해당 패킷의 출발지 IP 주소가 로그인 서버로부터 전송받은 출발지 IP 주소로 생성된 출발지 IP 주소 리스트에 저장된 IP 주소인지 여부로 판단될 수 있다.
예를 들어, 로그인 서버(130)가 제1 기준에 따른 패킷(즉, 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷)의 출발지 IP 주소를 방화벽 서버(140)로 전송하는 것으로 설정되는 경우, 출발지 IP 주소 리스트(141)에는 이러한 패킷의 출발지 IP 주소가 저장되며, 패킷 분석부(145)는 서비스 서버(150)로 접속된 패킷의 출발지 IP 주소가 출발지 IP 주소 리스트(141)에 있으면, 해당 패킷의 트래픽을 정상적인 로그인 시도를 거친 트래픽으로 판단하고, 서비스 서버(150)로 접속된 패킷의 출발지 IP 주소가 출발지 IP 주소 리스트(141)에 없으면, 해당 패킷의 트래픽을 정상적인 로그인 시도를 거치지 않은 트래픽으로 판단한다.
또한, 로그인 서버(130)가 로그인 시도 패턴과 함께 출발지 IP 주소를 방화벽 서버(140)로 전송하는 것으로 설정되는 경우, 출발지 IP 주소 리스트(141)에는 출발지 IP 주소와 함께 로그인 시도 패턴 정보도 저장된다. 관리자는 어떤 로그인 시도 패턴에 따른 패킷의 트래픽을 정상적인 로그인 시도를 거친 트래픽으로 볼 것인지 선택할 수 있다. 예컨대, 제2 기준에 따른 패킷(즉, 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷)의 트래픽을 정상적인 로그인 시도를 거친 트래픽으로 선택된다면, 패킷 분석부(145)는 서비스 서버(140)에 접속된 패킷의 출발지 IP 주소가 로그인 시도 패턴 정보에 적어도 "2"가 포함된 출발지 IP 주소의 리스트에 있으면, 해당 패킷의 트래픽을 정상적인 로그인 시도를 거친 트래픽으로 판단한다. 앞서 설명한 바와 같이, 통상적으로 좀비 PC(120)는 서비스 서버(150)에 DDoS 공격을 시도하며, 로그인 서버(130)에는 DDoS 공격을 하지는 않기 때문에, 로그인 서버(130)에 접속하여 TCP 3-way hand shaking이 이루어진 패킷을 정상적으로 로그인 시도를 한 패킷으로 판단(즉, 제1 기준)하는 것은 유효할 수 있다. 그러나, DDoS 공격 행태는 방어 방법의 개발에 따라 지속적으로 진화하며 다양하게 이루어질 수 있기 때문에, 경우에 따라서는 제2 기준 내지 제4 기준이 DDoS 공격을 탐지하는데 더 효과적일 수 있다. 따라서, 위와 같이 로그인 시도 패턴에 따라 DDoS 공격의 악성 트래픽 판단 기준을 선택할 수 있게 함으로써, 관리자가 상황에 따라 여러 각도로 DDoS 공격을 탐지하는 것이 가능해지고, 이로써 보다 조기에 정확하게 DDoS 공격이 탐지될 수 있다. 또한, 패킷 분석부(145)는 허용/차단 정책을 위해 정상 IP 주소 리스트(142)와 비정상 IP 주소 리스트(143)를 생성 저장할 수 있다. 로그인 서버(130)가 로그인 시도 패턴과 함께 출발지 IP 주소를 방화벽 서버(140)로 전송하는 것으로 설정되는 경우, 패킷 분석부(145)는 로그인 시도 패턴 별로 정상 IP 주소 리스트(142), 비정상 IP 주소 리스트(143)를 생성하는 것으로 구현될 수 있다. 즉, 정상 IP 주소 리스트로(142)서, 제1 정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제1 기준을 만족하는 출발지 IP 주소 리스트에 있는 트래픽의 출발지 IP 주소 리스트), 제2 정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제2 기준을 만족하는 출발지 IP 주소 리스트에 있는 트래픽의 출발지 IP 주소 리스트), 제3 정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제3 기준을 만족하는 출발지 IP 주소 리스트에 있는 트래픽의 출발지 IP 주소 리스트), 제4 정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제4 기준을 만족하는 출발지 IP 주소 리스트에 있는 트래픽의 출발지 IP 주소 리스트)가 생성된다.
또한, 비정상 IP 주소 리스트(143)로서, 제1 비정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제1 기준을 만족하는 출발지 IP 주소 리스트에 없는 트래픽의 출발지 IP 주소 리스트), 제2 비정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제2 기준을 만족하는 출발지 IP 주소 리스트에 없는 트래픽의 출발지 IP 주소 리스트), 제3 비정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제3 기준을 만족하는 출발지 IP 주소 리스트에 없는 트래픽의 출발지 IP 주소 리스트), 제4 비정상 IP 주소 리스트(서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제4 기준을 만족하는 출발지 IP 주소 리스트에 없는 트래픽의 출발지 IP 주소 리스트)가 생성되는 것으로 구현될 수 있다.
DDoS 공격 탐지부(146)는, 서비스 서버(150)로 유입되는 트래픽을 분석하여 DDoS 공격을 탐지한다. 예컨대, DDoS 공격 탐지부(146)는 시간당 정상적인 로그인 시도를 거치지 않은 트래픽의 양을 기초로 DDoS 공격 여부를 판단할 수 있다. 또한, DDoS 공격 탐지부(146)는 기존의 DDoS 공격 탐지 단계의 일부와 조합하여 DDoS 공격 여부를 판단할 수도 있다.
예컨대, DDoS 공격 탐지부(146)는 미러링된 패킷을 분석하여 TCP 3-way hand shaking이 정상적으로 이루어지지 않은 트래픽은 DDoS 공격의 악성 트래픽으로 판단할 수 있다. 이를 통해, 변조된 출발지 IP 주소로 서비스 서버(150)에 접속을 시도하는 트래픽이 일차적으로 DDoS 공격의 악성 트래픽으로 필터링될 수 있다.
다음으로, DDoS 공격 탐지부(146)는, TCP 3-way hand shaking이 정상적으로 이루어진 트래픽에 대해서, 시간당 정상적인 로그인 시도를 거치지 않은 트래픽의 양이 소정 임계치를 넘는 경우, DDoS 공격으로 판단할 수 있다. 종래에는 서비스 서버(150)로 접속하여 TCP 3-way handshaking이 정상적으로 이루어진 트래픽 모두를 분석하는 바, DDoS 공격의 탐지에 한계가 있었을 뿐만 아니라 DDoS 공격의 탐지에 시간이 오래 걸렸다. 위와 같이, 본 발명의 일 실시예에 따른 DDoS 공격 탐지부는, 사용자의 로그인 데이터를 이용하여 시간 당 정상적인 로그인 시도를 거치지 않은 트래픽의 양이 소정 임계치를 넘는지 여부를 통해 DDoS 공격을 탐지하는 바, 조기에 정확하게 DDoS 공격을 탐지할 수 있다. 또한, (상술한 바와 같이) 시간당 정상적인 로그인 시도를 거치지 않은 트래픽은 관리자가 어떤 기준을 선택하느냐에 따라 달리 선택될 수 있다. 예컨대, 관리자는 제1 비정상 IP 주소 리스트로부터 시간당 <서비스 서버로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 제1 기준을 만족하는 출발지 IP 주소 리스트에 없는 트래픽>을 시간당 정상적인 로그인 시도를 거치지 않은 트래픽으로 판단할 수 있다.
DDoS 공격 탐지부(146)가 DDoS 공격으로 판단하는 경우, 이를 트래픽 제어부(147)에 알린다. 트래픽 제어부는 DDoS 공격으로 판단되는 경우에는 정상적인 로그인 시도를 거치지 않은 트래픽에 대해서는 서비스 서버(140)로의 접속을 차단한다. 이때, 관리자가 서비스 서버(140)로 유입되는 트래픽 상황에 따라 복수의 차단 정책 중 하나를 선택할 수 있도록 하는 것이 바람직하다. 예컨대, 차단되는 트래픽은 비정상 IP 주소 리스트(143)의 출발지 IP 주소로 접속된 트래픽일 수 있다.
또한, DDoS 공격 탐지를 위해 정상적인 로그인 시도를 거치지 않은 트래픽으로 판단한 트래픽과, 차단 정책이 적용되는 트래픽은 다를 수 있다.
예컨대, DDoS 공격 탐지 시에, 서비스 서버(140)로 접속하는 사용자 트래픽으로서 출발지 IP 주소가 로그인 시도 패턴 정보에 적어도 "1" 또는 "2"가 포함된 출발지 IP 주소의 리스트에 없는 트래픽을 정상적인 로그인 시도를 거치지 않는 트래픽으로 판단하더라도, 차단 정책은 제1 비정상 IP 주소 리스트의 출발지 IP 주소를 갖는 트래픽에 대해서만 적용될 수 있다. 다르게는, 순차적으로, 제1 비정상 IP 주소 리스트의 출발지 IP 주소를 갖는 트래픽에 먼저 차단 정책을 적용하고, 트래픽 상황에 따라, 제2 비정상 IP 주소 리스트의 출발지 IP 주소를 갖는 트래픽에도 추가적으로 차단 정책을 적용할 수 있다. 이와 같이, 로그인 시도 패턴에 따라, DDoS 공격의 탐지를 위한 악성 트래픽 기준과, 차단 정책이 적용되는 악성 트래픽 기준을 선택할 수 있게 함으로써, 관리자가 상황에 따라 DDoS 공격에 대해 유연하게 대처하는 것이 가능해진다.
일 예로서, 제1 기준, 제2 기준, 제3 기준, 제4 기준 순으로, 차단 정책을 적용할 수 있다. (제1 기준에 따른) 제1 비정상 IP 주소의 리스트에 차단 정책을 적용한다면, DDoS 공격에 가장 느슨하게 대응하는 것이며, (제4 기준에 따른) 제4 비정상 IP 주소의 리스트까지 차단 정책을 적용한다면, DDoS 공격에 가장 확실하게 대응하는 것일 수 있다.
DDOS 공격은 완벽한 100% 방어가 불가능하고, 공격량을 경감(mitigate) 시켜서, 서비스 불능 상태를 회복하는 것이 바람직하다. 제1 비정상 IP 주소의 리스트에 차단 정책을 적용하면, DDoS 공격량의 경감은 낮을 수 있지만, 정상적인 사용자를 차단하는 오탐 확률이 낮은 이점이 있다. 따라서, 제1 비정상 IP 주소의 리스트에서 제4 비정상 IP 주소의 리스트까지 순서대로 차단 정책을 적용하여, 공격량의 경감을 확인해 볼 수 있다.
도 3은 본 발명의 일 실시예에 따른 DDoS 공격 탐지 및 방어 방법을 나타내는 흐름도이다.
도 3을 참고로, 로그인 서버(130)는 로그인 서버(130)로 발송된 사용자 패킷으로부터 출발지 IP 주소를 추출한다(S110). 로그인 서버(130)는 추출된 출발지 IP 주소를 방화벽 서버(140)로 전송한다(S120). 이때, 로그인 서버(130)는 추출된 출발지 IP 주소와 함께 로그인 시도 패턴 정보를 함께 방화벽 서버(140)로 전송할 수 있다.
방화벽 서버(140)는, 로그인 서버(130)로부터 전송받은 출발지 IP 주소를 출발지 IP 주소 리스트(141)에 저장한다(S130). 로그인 시도 패턴 정보도 함께 전송받는 경우에는, 이 정보도 출발지 IP 주소 리스트(141)에 저장된다.
다음 단계로, 방화벽 서버(140)는 서비스 서버(150)로 유입되는 사용자의 패킷으로부터 출발지 IP 주소를 추출한다(S140). 방화벽 서버(140)는, 추출된 출발지 IP 주소가 출발지 IP 주소 리스트(141)에 없으면, 해당 트래픽을 비정상 트래픽으로 판단한다(S150). 이때, 관리자가 로그인 시도 패턴을 선택하는 경우, 출발지 IP 주소는 관리자에 의해 선택된 로그인 시도 패턴에 상응하는 출발지 IP 주소의 리스트이다.
방화벽 서버(140)는 시간 당 비정상 트래픽 양을 기초로 DDoS 공격 여부를 판단하며(S160), DDoS 공격으로 판단되는 경우 비정상 트래픽에 대해 차단 정책을 적용한다(S170).
130: 로그인 서버
140: 방화벽 서버
150: 서비스 서버
141: 출발지 IP 주소 리스트
142: 정상 IP 주소 리스트
143: 비정상 IP 주소 리스트
144: 패킷 미러부
145: 패킷 분석부
146: DDoS 공격 탐지부
147: 트래픽 제어부

Claims (7)

  1. DDoS 공격 탐지 및 방어 시스템이며,
    서비스 서버와,
    사용자의 회원 가입 여부를 확인하는 로그인 서버와,
    상기 서비스 서버로 발송된 사용자의 패킷을 모니터링하여, 상기 서비스 서버로의 DDoS 공격을 차단하는 방화벽 서버를 포함하고,
    상기 로그인 서버는 로그인 서버로 발송된 사용자의 패킷들 중 적어도 일부로부터 출발지 IP 주소를 추출하여 이를 상기 방화벽 서버에 전송하고,
    상기 방화벽 서버는 상기 서비스 서버로 발송된 사용자의 패킷으로부터 출발지 IP 주소를 추출하여, 추출된 출발지 IP 주소가 상기 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트에 없으면 상기 서비스 서버로 발송된 사용자의 트래픽을 비정상 트래픽으로 판단하고,
    상기 방화벽 서버로 전송되는 출발지 IP 주소는,
    (1) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷,
    (2) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷 ,
    (3) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷,
    (4) 로그인 서버에 로그인을 완료한 패킷 중 적어도 하나를 만족하는 패킷의 출발지 IP 주소이고,
    상기 방화벽 서버는,
    로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷의 출발지 IP 주소를 제1 정상 IP 주소 리스트에 저장하고,
    로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷의 출발지 IP 주소를 제2 정상 IP 주소 리스트에 저장하고,
    로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷의 출발지 IP 주소를 제3 정상 IP 주소 리스트에 저장하고,
    로그인 서버에 로그인을 완료한 패킷의 출발지 IP 주소를 제4 정상 IP 주소 리스트에 저장하는,
    DDoS 공격 탐지 및 방어 시스템.
  2. 제1항에 있어서, 상기 방화벽 서버는, 상기 추출된 출발지 IP 주소가 상기 로그인 서버로부터 전송받은 출발지 IP 주소의 리스트에 있으면 상기 서비스 서버로 발송된 사용자의 트래픽을 정상 트래픽으로 판단하는,
    DDoS 공격 탐지 및 방어 시스템.
  3. 제1항에 있어서,
    적어도 비정상 트래픽의 양을 기초로 DDoS 공격 여부를 판단하는,
    DDoS 공격 탐지 및 방어 시스템.
  4. 제1항에 있어서,
    시간당 비정상 트래픽 양이 소정 임계치를 넘어서면 DDoS 공격으로 판단하는,
    DDoS 공격 탐지 및 방어 시스템.
  5. DDoS 공격 탐지 및 방어 방법이며,
    로그인 서버로 발송된 사용자의 패킷들 중 적어도 일부로부터 출발지 IP 주소를 추출하여 이를 방화벽 서버에 전송하는 단계와,
    방화벽 서버에서, 서비스 서버로 발송된 사용자의 패킷으로부터 출발지 IP 주소를 추출하는 단계와,
    서비스 서버로 발송된 사용자의 패킷으로부터 추출된 출발지 IP 주소가 상기 방화벽 서버로 전송된 출발지 IP 주소의 리스트에 없으면, 상기 서비스 서버로 발송된 사용자의 트래픽을 비정상 트래픽으로 판단하는 단계와,
    적어도 비정상 트래픽의 양을 기초로 DDoS 공격 여부를 판단하는 단계와,
    정상 IP 주소 리스트를 방화벽 서버에 생성하는 단계를 포함하고,
    상기 방화벽 서버로 전송되는 출발지 IP 주소는,
    (1) 로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷,
    (2) 로그인 서버에 로그인을 완료한 패킷,
    (3) 로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷,
    (4) 로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷 중 적어도 하나를 만족하는 패킷의 출발지 IP 주소이고,
    상기 정상 IP 주소 리스트를 방화벽 서버에서 생성하는 단계에서,
    로그인 서버에 접속하여 TCP 3-way hand shaking이 이루어진 패킷의 출발지 IP 주소는 제1 정상 IP 주소 리스트에 저장되고,
    로그인 서버로 발송된 사용자의 패킷이 로그인 서버로의 통신을 위한 통신 프로토콜을 따르는 패킷의 출발지 IP 주소는 제2 정상 IP 주소 리스트에 저장되고,
    로그인 서버로 발송된 사용자의 패킷에서 아이디 및 비밀번호에 해당하는 데이터가 텍스트, 숫자 및 기호 중 적어도 둘의 조합인 패킷의 출발지 IP 주소는 제3 정상 IP 주소 리스트에 저장되고,
    로그인 서버에 로그인을 완료한 패킷의 출발지 IP 주소는 제4 정상 IP 주소 리스트에 저장되는,
    DDoS 공격 탐지 및 방어 방법.
  6. 제5항에 있어서, 상기 추출된 출발지 IP 주소가 상기 방화벽 서버로 전송된 출발지 IP 주소의 리스트에 있으면, 상기 서비스 서버로 발송된 사용자의 트래픽을 정상 트래픽으로 판단하는 단계를 더 포함하는,
    DDoS 공격 탐지 및 방어 방법.
  7. 제5항에 있어서,
    시간당 비정상 트래픽 양이 소정 임계치를 넘어서면 DDoS 공격으로 판단하는,
    DDoS 공격 탐지 및 방어 방법.
KR1020220032310A 2021-06-23 2022-03-15 DDoS 공격의 탐지 및 방어 시스템 및 그 방법 KR102545705B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220032310A KR102545705B1 (ko) 2021-06-23 2022-03-15 DDoS 공격의 탐지 및 방어 시스템 및 그 방법

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020210081336A KR102401661B1 (ko) 2021-06-23 2021-06-23 DDoS 공격의 탐지 및 방어 시스템 및 그 방법
KR1020220032310A KR102545705B1 (ko) 2021-06-23 2022-03-15 DDoS 공격의 탐지 및 방어 시스템 및 그 방법

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020210081336A Division KR102401661B1 (ko) 2021-06-23 2021-06-23 DDoS 공격의 탐지 및 방어 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20220170738A KR20220170738A (ko) 2022-12-30
KR102545705B1 true KR102545705B1 (ko) 2023-06-20

Family

ID=81808083

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020210081336A KR102401661B1 (ko) 2021-06-23 2021-06-23 DDoS 공격의 탐지 및 방어 시스템 및 그 방법
KR1020220032310A KR102545705B1 (ko) 2021-06-23 2022-03-15 DDoS 공격의 탐지 및 방어 시스템 및 그 방법

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020210081336A KR102401661B1 (ko) 2021-06-23 2021-06-23 DDoS 공격의 탐지 및 방어 시스템 및 그 방법

Country Status (1)

Country Link
KR (2) KR102401661B1 (ko)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2456713C1 (ru) 2008-04-30 2012-07-20 Чжэцзян Манелюкс Лайтинг Ко., Лтд. Белый сид и белая сид лампа
KR20110028106A (ko) * 2009-09-11 2011-03-17 한국전자통신연구원 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법
KR101658450B1 (ko) * 2016-04-01 2016-09-21 이석우 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치.
KR20190083498A (ko) * 2018-01-04 2019-07-12 주식회사 뉴텍코리아 디도스 공격 차단을 위한 패킷 필터링 시스템

Also Published As

Publication number Publication date
KR20220170738A (ko) 2022-12-30
KR102401661B1 (ko) 2022-05-24

Similar Documents

Publication Publication Date Title
US7225468B2 (en) Methods and apparatus for computer network security using intrusion detection and prevention
EP1817685B1 (en) Intrusion detection in a data center environment
KR101369727B1 (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
AU2004289001B2 (en) Method and system for addressing intrusion attacks on a computer system
US7409714B2 (en) Virtual intrusion detection system and method of using same
US20040073800A1 (en) Adaptive intrusion detection system
GB2427108A (en) Combating network virus attacks, such as DDoS, by automatically instructing a switch to interrupt an attacking computer&#39;s access to the network
US9380067B2 (en) IPS detection processing method, network security device, and system
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
KR102545705B1 (ko) DDoS 공격의 탐지 및 방어 시스템 및 그 방법
US20170346844A1 (en) Mitigating Multiple Advanced Evasion Technique Attacks
KR100983549B1 (ko) 클라이언트 ddos 방어 시스템 및 그 방법
Harale et al. Network based intrusion detection and prevention systems: Attack classification, methodologies and tools
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
US11451584B2 (en) Detecting a remote exploitation attack
CN114189360B (zh) 态势感知的网络漏洞防御方法、装置及系统
Gomathi et al. Identification of Network Intrusion in Network Security by Enabling Antidote Selection
Fleming et al. Network intrusion and detection: An evaluation of snort
Gheorghe et al. Attack evaluation and mitigation framework
US20080320593A1 (en) Method, System and Computer Readable Medium For Intrusion Control
CN115277173A (zh) 一种网络安全监测管理系统及方法
Bhakthavatsalam et al. Prevention of a SYNflood attack using ExtremeXOS modular operating system
Line et al. Penetration testing of OPC as part of process control systems
Asarcıklı Firewall monitoring using intrusion detection systems
Schultz Demystifying intrusion detection: sorting through the confusion, hyperbole and misconceptions

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant