KR102616173B1 - 비정상 트래픽 탐지 방법 및 그 장치 - Google Patents

비정상 트래픽 탐지 방법 및 그 장치 Download PDF

Info

Publication number
KR102616173B1
KR102616173B1 KR1020180090135A KR20180090135A KR102616173B1 KR 102616173 B1 KR102616173 B1 KR 102616173B1 KR 1020180090135 A KR1020180090135 A KR 1020180090135A KR 20180090135 A KR20180090135 A KR 20180090135A KR 102616173 B1 KR102616173 B1 KR 102616173B1
Authority
KR
South Korea
Prior art keywords
traffic
detection
abnormal traffic
detection unit
abnormal
Prior art date
Application number
KR1020180090135A
Other languages
English (en)
Other versions
KR20200014968A (ko
Inventor
김성우
김태균
박재홍
김진봉
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020180090135A priority Critical patent/KR102616173B1/ko
Publication of KR20200014968A publication Critical patent/KR20200014968A/ko
Application granted granted Critical
Publication of KR102616173B1 publication Critical patent/KR102616173B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

비정상 트래픽 탐지 방법 및 그 장치가 제공된다. 이 방법은, 적어도 하나의 프로세서에 의해 동작하는 비정상 트래픽 탐지 장치가 비정상트래픽을 탐지하는 방법으로서, 비정상 트래픽 탐지 결과의 민감도를 계층화한 복수의 민감도 레벨 중에서 민감도 레벨을 선택하는 단계, 서로 다른 복수의 비정상 트래픽 탐지 기준 중에서 선택한 민감도 레벨에 정의된 적어도 두개의 비정상 트래픽 탐지 기준을 선택하는 단계, 그리고 선택한 적어도 두개의 비정상 트래픽 탐지 기준을 이용하여 비정상 트래픽을 탐지하는 단계를 포함한다.

Description

비정상 트래픽 탐지 방법 및 그 장치{METHOD AND APPARATUS FOR DETECTING ANOMALOUS TRAFFIC}
본 발명은 비정상 트래픽 탐지 방법 및 그 장치에 관한 것이다.
외부망으로부터 내부망으로 유입되는 트래픽에는 망을 위협하는 침입 또는 공격이 존재하기 마련이다. 특히, 언제 어디서나 인터넷에 접속할 수 있는 망 기술이 발전함에 따라 대규모 망을 대상으로 하는 공격이 증가하고 있어 심각한 사회적 문제로 부각되고 있다. 공격 유형으로는 네트워크 대역폭(bandwidth)을 위협하는 Dos(Denial of Service), DDos(Distributed Denial of Service) 등이 대표적이고, 그 이외에도 웜 바이러스와 같은 바이러스 공격, 다양한 해킹 등이 있다.
특히, DDoS는 고객의 장애 발생과 밀접한 관계가 있다. 따라서, 종래에 DDoS 공격에 대한 수치와 패턴을 통하여 이상 징후에 대한 탐지를 제공하고 있다. DDoS 탐지 장비의 경우, 임계치 기반의 탐지 방법이 주를 이루고 있다. 예를들면, 공격 유형의 특성에 따라 패킷을 분류하여 초당 패킷 수(PPS, Packets Per Second)가 미리 정해놓은 임계치를 초과하면 공격으로 탐지한다.
그런데, 이러한 종래 탐지 방식의 경우, 임계치가 디폴트로 고정된다. 따라서, 서비스 흥행으로 인해 트래픽량이 증가한 것임에도 단순히 트래픽량이 임계치를 넘어서면 탐지하는 오류가 발생할 수 있다. 이런 경우, 실제 오탐지인지 공격인지 여부는 운용자가 일일히 수작업으로 확인해야 한다. 따라서, 운용자의 지속적인 모니터링을 수반하므로, 피로도가 상당하다.
이처럼, 종래에는 서비스 관점과 영향도 관점에 대한 고려가 반영되지 못하고 있어, 운용자의 투입이 불가피하다.
본 발명이 해결하고자 하는 과제는 탐지 대상 별로 그 특성에 맞게 서비스 관점 및 영향도 관점을 고려하여 유의미한 침입 또는 공격을 탐지할 수 있는 비정상 트래픽 탐지 방법 및 그 장치를 제공하는 것이다.
본 발명의 한 실시예에 따른, 비정상 트래픽 탐지 방법은, 적어도 하나의 프로세서에 의해 동작하는 비정상 트래픽 탐지 장치가 비정상트래픽을 탐지하는 방법으로서, 비정상 트래픽 탐지 결과의 민감도를 계층화한 복수의 민감도 레벨 중에서 민감도 레벨을 선택하는 단계, 서로 다른 복수의 비정상 트래픽 탐지 기준 중에서 선택한 민감도 레벨에 정의된 적어도 두개의 비정상 트래픽 탐지 기준을 선택하는 단계, 그리고 선택한 적어도 두개의 비정상 트래픽 탐지 기준을 이용하여 비정상 트래픽을 탐지하는 단계를 포함한다.
상기 민감도 레벨은, 가장 민감한 탐지 레벨을 포함하고, 상기 탐지하는 단계는, 상기 가장 민감한 탐지 레벨이 선택된 경우, 상기 서로 다른 복수의 비정상 트래픽 탐지 기준 중에서 적어도 하나의 기준에 따라 비정상 트래픽이 감지되면, 최종적으로 비정상 트래픽으로 탐지할 수 있다.
상기 민감도 레벨은, 최소 검증 탐지 레벨을 포함하고, 상기 탐지하는 단계는, 상기 최소 검증 탐지 레벨이 선택된 경우, 상기 서로 다른 복수의 비정상 트래픽 탐지 기준 중에서 상호 보완되는 적어도 두개의 기준을 조합하는 단계, 그리고 조합된 적어도 두개의 기준 모두에서 비정상 트래픽이 감지되면, 최종적으로비정상 트래픽으로 판단하는 단계를 포함할 수 있다.
상기 조합하는 단계는, 상기 적어도 두개의 기준으로 조합된 기준 조합 쌍을 복수개 형성하고, 상기 탐지하는 단계는, 상기 복수개의 기준 조합 쌍 중에서 적어도 하나에서 비정상 트래픽이 감지되면, 최종적으로 비정상 트래픽으로 판단할 수 있다.
상기 민감도 레벨은, 중복 검증 탐지 레벨을 포함하고, 상기 탐지하는 단계는, 상기 중복 검증 탐지 레벨이 선택된 경우, 상기 서로 다른 복수의 비정상 트래픽 탐지 기준을 두개씩 모두 조합하여, 복수개의 기준 조합 쌍을 생성하는 단계, 그리고 상기 복수개의 기준 조합 쌍 중에서 적어도 하나의 기준 조합 쌍에 포함된 두개의 조건 모두에서 비정상 트래픽이 감지되면, 최종적으로 비정상 트래픽으로 탐지하는 단계를 포함할 수 있다.
상기 민감도 레벨은, 정확도 높은 탐지를 포함하고, 상기 탐지하는 단계는, 상기 정확도 높은 탐지 레벨이 선택된 경우, 상기 서로 다른 복수의 비정상 트래픽 탐지 기준 중에서 적어도 하나의 기준에서 비정상 트래픽이 감지되고, 고객 대역폭의 가용 대역폭 조건을 충족하지 못하는 경우, 비정상 트래픽으로 탐지할 수 있다.
상기 서로 다른 복수의 비정상 트래픽 탐지 기준은, 임의로 정한 일정 기간동안 수집된 과거 트래픽의 패턴을 학습한 결과를 임계 기준으로 사용하는 학습 기준, 상기 과거 트래픽의 빈도를 임계 기준으로 사용하는 빈도 기준, 상기 과거 트래픽의 증가율을 임계 기준으로 사용하는 증가율 기준, 인바운드 트래픽에 대한 아웃바운드 트래픽의 통신 비율, 그리고 가입 대역 폭에 따른 가용 대역폭 기준 중 적어도 하나를 포함할 수 있다.
본 발명의 다른 특징에 따르면, 비정상 트래픽 탐지 장치는 통신 장치, 비정상 트래픽 탐지 프로그램을 저장하는 메모리, 그리고 상기 비정상 트래픽 탐지 프로그램을 실행하는 적어도 하나의 프로세서를 포함하고, 상기 비정상 트래픽 탐지 프로그램은, 비정상 트래픽 탐지 결과의 민감도를 계층화한 복수의 민감도 레벨 중에서 선택한 민감도 레벨에 정의된 복수개의 비정상 트래픽 탐지 조건을 논리 연산하여 비정상 트래픽을 탐지하는 명령어들(Instructions)을 포함할 수 있다.
상기 비정상 트래픽 탐지 프로그램은, 상기 서로 다른 비정상 트래픽 탐지 방식 중에서 상기 민감도 레벨에 따라 선택된 비정상 트래픽 탐지 방식들을 선택적으로 논리합(OR) 연산 또는 논리곱(AND) 연산하는 명령어들을 포함할 수 있다.
상기 비정상 트래픽 탐지 프로그램은, 가장 민감한 탐지 레벨, 검증 탐지 레벨 및 정확도 높은 탐지 레벨 중 적어도 하나의 민감도 레벨에 따른 비정상 트래픽 탐지 동작을 수행하는 명령어들을 포함하고, 상기 가장 민감한 탐지 레벨은, 상기 서로 다른 복수의 비정상 트래픽 탐지 조건을 모두 논리합(OR) 연산하도록 설정되고, 상기 검증 탐지 레벨은, 상기 복수의 비정상 트래픽 탐지 조건 중에서 상호 보완되는 적어도 두개의 비정상 트래픽 탐지 조건을 논리곱(AND) 연산한 복수의 결과를 논리합(OR) 연산하도록 설정되며, 상기 정확도 높은 탐지 레벨은, 상기 복수의 비정상 트래픽 탐지 조건을 모두 논리합(OR) 연산한 결과와 가입 대역폭에 따른 조건을 논리곱(AND) 연산하도록 설정될 수 있다.
본 발명의 또 다른 특징에 따르면, 비정상 트래픽 탐지 장치는, 서로 다른 복수의 비정상 트래픽 탐지 기준을 이용하는 각각의 비정상 트래픽 탐지 동작을 수행하는 1차 탐지부, 그리고 상기 각각의 비정상 트래픽 탐지 동작의 탐지 결과 중에서 민감도 레벨에 따라 선택된 탐지 결과를 논리곱(AND) 또는 논리합(OR) 연산한 결과를 최종 비정상 트래픽 탐지 결과로 출력하는 2차 탐지부를 포함한다.
상기 1차 탐지부는, 트래픽의 총량이 임계치 이상이면 비정상 트래픽으로 탐지하는 트래픽량 기반 탐지부, 트래픽의 점유율이 임계치 이상이면 비정상 트래픽으로 탐지하는 트래픽 점유율 기반 탐지부, 소스 주소 및 목적지 주소가 모두 동일한 트래픽 개수가 임계치 이상이면 비정상 트래픽으로 탐지하는 트래픽 빈도 기반 탐지부, 단위 시간 동안 트래픽 증가율이 임계치 이상이면 비정상 트래픽으로 탐지하는 트래픽 증가율 기반 탐지부, 인바운드 트래픽에 대한 아웃바운드 트래픽의 비율이 임계치 이하이면 비정상 트래픽으로 탐지하는 트래픽 통신 비율 기반 탐지부, 그리고 현재 가용 대역폭이 가입 대역폭을 기초로 설정된 임계 대역폭 이하이면, 비정상 트래픽으로 탐지하는 고객 대역폭 기반 탐지부를 포함한다.
상기 민감도 레벨은, 상기 트래픽량 기반 탐지부, 상기 트래픽 점유율 기반 탐지부, 상기 트래픽 빈도 기반 탐지부, 상기 트래픽 증가율 기반 탐지부, 상기 트래픽 통신 비율 기반 탐지부 및 상기 고객 대역폭 기반 탐지부 각각의 탐지 결과를 논리합(OR) 연산하도록 설정되는 가장 민감한 레벨, 상기 각각의 탐지 결과 중에서 상호 보완되는 적어도 두개의 탐지 결과를 논리곱(AND) 연산한 복수의 결과를 논리합(OR) 연산하도록 설정되는 검증 탐지 레벨, 그리고 상기 각각의 탐지 결과를 모두 논리합(OR) 연산한 결과와 가입 대역폭에 따른 조건을 논리곱(AND) 연산하도록 설정되는 정확도 높은 탐지 레벨 중 적어도 하나를 포함할 수 있다.
상기 검증 탐지 레벨은, 상기 트래픽량 기반 탐지부 및 상기 트래픽 점유율 기반 탐지부의 각각의 탐지 결과를 논리곱(AND) 연산한 결과, 상기 트래픽 증가율 기반 탐지부 및 상기 트래픽 통신 비율 기반 탐지부의 각각의 탐지 결과를 논리곱(AND) 연산한 결과, 그리고 상기 트래픽 빈도 기반 탐지부의 탐지 결과를 논리합(OR) 연산하도록 설정될 수 있다.
상기 검증 탐지 레벨은, 상기 트래픽 빈도 기반 탐지부 및 상기 트래픽 증가율 기반 탐지부의 각각의 탐지 결과를 논리곱(AND) 연산한 결과, 상기 트래픽량 기반 탐지부, 상기 트래픽 점유율 기반 탐지부 및 상기 트래픽 빈도 기반 탐지부의 각각의 탐지 결과를 논리곱(AND) 연산한 결과, 상기 트래픽량 기반 탐지부, 상기 트래픽 점유율 기반 탐지부 및 상기 트래픽 증가율 기반 탐지부의 각각의 탐지 결과를 논리곱(AND) 연산한 결과, 상기 트래픽량 기반 탐지부, 상기 트래픽 점유율 기반 탐지부, 상기 트래픽 증가율 기반 탐지부 및 상기 트래픽 통신 비율 기반 탐지부의 각각의 탐지 결과를 논리곱(AND) 연산한 결과, 그리고 상기 트래픽 빈도 기반 탐지부 및 상기 트래픽 통신 비율 기반 탐지부 각각의 탐지 결과를 논리곱(AND) 연산한 결과 중 적어도 두개를 논리합(OR) 연산하도록 설정될 수 있다.
본 발명에 따르면, 종래에 수작업으로 이루어지던 비정상 트래픽 탐지 방식을 자동화함으로써, 운용자의 모니터링 피로도를 낮출 수 있다.
또한, 학습 데이터를 통해 실시간 변동되는 임계치를 적용하여 탐지함으로써, 오탐지 확률을 줄일 수 있다.
또한, 다양한 탐지 대상 별 니즈의 충족을 고려하여 탐지 민감도를 조절함으로써, 단순히 침입 의심이 아니라 높은 정확도의 탐지 결과를 제공할 수 있다.
도 1은 본 발명의 실시예에 따른 비정상 트래픽 탐지 장치를 포함하는 전체 네트워크 구성도이다.
도 2는 본 발명의 실시예에 따른 비정상 트래픽 탐지 장치의 개략적인 동작을 나타낸 순서도이다.
도 3은 본 발명의 실시예에 따른 비정상 트래픽 탐지 장치의 구성을 나타낸 블록도이다.
도 4는 도 3의 트래픽량 학습 기반 탐지부의 동작을 나타낸 순서도이다.
도 5a, 도 5b는 도 3의 트래픽량 학습 기반 탐지부의 동작을 설명하기 위한 도면이다.
도 6은 도 3의 트래픽 점유율 학습 기반 탐지부의 동작을 나타낸 순서도이다.
도 7a, 도 7b는 도 3의 트래픽 점유율 학습 기반 탐지부의 동작을 설명하기 위한 도면이다.
도 8은 도 3의 트래픽 빈도 기반 탐지부의 동작을 나타낸 순서도이다.
도 9는 도 3의 트래픽 증가율 기반 탐지부의 동작을 나타낸 순서도이다.
도 10은 도 3의 트래픽 통신 비율 기반 탐지부의 동작을 나타낸 순서도이다.
도 11a, 도 11b는 도 3의 트래픽 통신 비율 기반 탐지부의 동작을 설명하기 위한 도면이다.
도 12는 도 3의 고객 대역폭 기반 탐지부의 동작을 나타낸 순서도이다.
도 13a, 도 13b는 도 3의 고객 대역폭 기반 탐지부 의 동작을 설명하기 위한 도면이다.
도 14는 본 발명의 또 다른 실시예에 따른 민감도 레벨에 따른 비정상 트래픽 탐지 동작을 나타낸 논리 회로도이다.
도 15는 본 발명의 실시예에 따른 비정상 트래픽 탐지 장치의 하드웨어 블록도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도면을 참고하여, 본 발명의 실시예에 따른 비정상 트래픽 탐지 방법 및 그 장치에 대하여 설명한다.
도 1은 본 발명의 실시예에 따른 비정상 트래픽 탐지 장치를 포함하는 전체 네트워크 구성도이고, 도 2는 본 발명의 실시예에 따른 비정상 트래픽 탐지 장치의 개략적인 동작을 나타낸 순서도이다.
도 1을 참조하면, 인터넷과 같은 외부망(100)은 라우터(200), 스위치(300) 등의 네트워크 장치를 통하여 내부망(400)과 연결된다.
네트워크 장치(200, 300)는 외부망(100)과 내부망(400)간 송수신되는 패킷을 분류하여 대응하는 경로를 설정한다. 이때, 패킷들의 흐름을 트래픽이라 한다.
내부망(400)은 서버들, PC들로 구성될 수 있으며, 본 발명의 실시예에 따른 비정상 트래픽 탐지 서비스를 제공받는 가입자의 망이다.
비정상 트래픽 탐지 장치(500)는 외부망(100)과 내부망(400) 사이에 접속되어, 트래픽을 모니터링하고 내부망(400)의 정상적인 기능에 영향을 미치는 네트워크 공격 또는 네트워크 침입을 탐지한다.
이때, 비정상 트래픽 탐지 장치(500)는 종래에는 고려하지 못했던 다음과 같은 세가지 측면을 고려하여 비정상 트래픽을 탐지한다.
첫번째는 기술적 측면에서의 네트워크 공격이다. 공격의 실패 성공을 떠나서 비정상 트래픽의 발생 자체가 주요하여 미세한 트래픽의 변화만으로도 네트워크 공격 여부에 대한 검증이 필요하다.
두번째는 서비스 영향도 측면에서의 네트워크 공격이다. 실제 네트워크 공격이 아닐지라도, 서비스의 흥행 등에 의하여 네트워크 공격과 비슷한 서비스 영향이 발생할 경우가 있다. 그러나, 일반적인 네트워크 공격을 탐지하는 방법으로 이를 구분하기가 어렵다.
세번째는 대형 인프라를 보유한 가입자의 경우, 백본의 가용성을 침해하는 경우에만 네트워크 공격이라고 판단하고 싶은 고객 니즈의 측면이다. 백본 가용성이 확보되는 경우에는 대부분의 공격이 성공하지 못하는 충분한 인프라를 가지고 있으므로, 실제로 내부망(400)에 영향도가 발생하는 경우에만 네트워크 공격이라고 인지할 필요가 있다.
본 발명의 실시예에서는 비정상 트래픽 탐지 결과의 민감도를 조절하여 전술한 세가지 측면을 고려할 수 있다.
여기서, 민감도는 비정상 트래픽 탐지 결과의 예민한 정도를 나타내며, 정확도와는 상반된다. 즉, 민감도가 높을수록 정확도는 낮고 민감도가 낮을수록 정확도는 높다. 민감도 등급은 다음과 같이 정의한다.
민감도 레벨 탐지 명칭 탐지 방식 설명
L1 가장 민감한 탐지 비정상 트래픽의 발생을 모두 탐지하고자 할 때
L2 최소 검증 탐지 최소 검증을 통한 적절한 민감도를 가지고 탐지 하고자 할 때
L3 중복 검증 탐지 다중 검증을 통해 비정상 트래픽일 확률이 높은 경우 탐지하고자 할 때
L4 정확도 높은 탐지 백본에 영향이 발생하는 명확한 비정상 트래픽에 대해서만 탐지 하고자 할 때
도 2를 참조하면, 비정상 트래픽 탐지 장치(500)는 표 1과 같이 비정상 트래픽 탐지 결과에 대한 민감도를 계층화한 복수의 민감도 레벨 중에서 내부망(400)에 적용할 민감도 레벨을 선택한다(S101). 이때, 민감도 레벨은 가입자가 사전에 지정하여, 가입자의 니즈를 충족시킬 수 있는 비정상 트래픽 탐지가 수행되도록 할 수 있다.
비정상 트래픽 탐지 장치(500)는 선택(S101)한 민감도 레벨에 정의된 서로 다른 적어도 하나의 비정상 트래픽 탐지 방식을 선택한다(S103). 그리고 선택한 비정상 트래픽 탐지 방식을 대상 트래픽에 적용하여 대상 트래픽이 비정상 트래픽인지를 판단한다(S105). 여기서, 대상 트래픽은 외부망(100)으로부터 내부망(400)으로 유입되고, 일정 주기로 네트워크 장치(200, 300)로부터 수집된 트래픽을 말한다.
이제, 본 발명의 실시예에 따른 민감도 레벨에 따라 서로 다른 비정상 트래픽 탐지 방식을 조합하여 최종적으로 비정상 트래픽을 탐지하는 구성에 대해 구체적으로 설명하기로 한다.
도 3은 본 발명의 실시예에 따른 비정상 트래픽 탐지 장치의 구성을 나타낸 블록도이고, 도 4는 도 3의 트래픽량 학습 기반 탐지부의 동작을 나타낸 순서도이고, 도 5a, 도 5b는 도 3의 트래픽량 학습 기반 탐지부의 동작을 설명하기 위한 도면이고, 도 6은 도 3의 트래픽 점유율 학습 기반 탐지부의 동작을 나타낸 순서도이고, 도 7a, 도 7b는 도 3의 트래픽 점유율 학습 기반 탐지부의 동작을 설명하기 위한 도면이고, 도 8은 도 3의 트래픽 빈도 기반 탐지부의 동작을 나타낸 순서도이고, 도 9는 도 3의 트래픽 증가율 기반 탐지부의 동작을 나타낸 순서도이고, 도 10은 도 3의 트래픽 통신 비율 기반 탐지부의 동작을 나타낸 순서도이고, 도 11a, 도 11b는 도 3의 트래픽 통신 비율 기반 탐지부의 동작을 설명하기 위한 도면이고, 도 12는 도 3의 고객 대역폭 기반 탐지부의 동작을 나타낸 순서도이고, 도 13a, 도 13b는 도 3의 고객 대역폭 기반 탐지부의 동작을 설명하기 위한 도면이다.
먼저, 도 3을 참조하면, 비정상 트래픽 탐지 장치(500)는 트래픽 수집부(501), 1차 탐지부(503), 탐지 방식 선택부(505), 민감도 레벨 DB(507) 및 2차 탐지부(509)를 포함한다.
트래픽 수집부(501)는 네트워크 장치(200, 300)로부터 미리 정해진 시간 간격, 예를들면, 1분 간격으로 트래픽을 수집한다. 이때, 트래픽 수집부(501)는 네트워크 장치(200, 300)로부터 netflow, sflow 등의 기술을 이용한 트래픽 요약 정보를 수집할 수 있다.
트래픽 요약 정보는 5-Tuples(Src IP, Dst IP, Src Port, Dst Port, Protocol)에 기초한 플로우 정보를 포함할 수 있다. 여기서, 'Src IP'는 출발지 IP(source Internet Protocol)를 의미하고, 'Dst IP'는 목적지(destination) IP를 의미하고, 'Src Port'는 출발지 포트를 의미하고, 'Dst Port'는 목적지 포트를 의미한다. 동일한 5-Tuples 정보를 가지는 패킷은 동일한 어플리케이션(application)에 의해 생성되므로, 동일한 플로우라 할 수 있다.
트래픽 수집부(501)는 트래픽 요약 정보를 토대로 트래픽 총량, 프로토콜 별 BPS(Bit or Byte Per Second), PPS(Packet Per Second), 세션 정보를 생성한다. BPS는 초당 전송되는 바이트(byte) 또는 비트(bit)의 수를 의미한다. PPS는 네트워크 성능 측정 단위로서, 1초 동안 보낼 수 있는 패킷의 수를 의미한다.
1차 탐지부(503)는 트래픽 수집부(501)로부터 비정상 트래픽 탐지에 필요한 정보를 수신한다. 그리고 수신한 정보를 토대로 복수의 서로 다른 탐지 기준을 적용한 비정상 트래픽 탐지를 수행한다. 1차 탐지부(503)는 아래 표 2에 정의한 비정상 탐지 방식을 각각 구현하는 복수의 탐지부를 포함한다.
구분 설명
D1 트래픽량 학습 기반 탐지 기존의 트래픽 사용량을 크게 벗어 나는 경우 탐지
D2 트래픽 점유율 학습 기반 탐지 기존의 대역 전체 사용량 대비 단일 아이피 최대 점유 비율을 크게 벗어 나는 경우 탐지
D3 트래픽 빈도 기반 탐지 정상 통신 상태의 소스 IP 개수와 단일 소스 IP 별로 단위 시간당 발생하는 트래픽 개수 수(사전정의 or 학습)를 벗어나는 경우 탐지
D4 트래픽 증가율 기반 탐지 트래픽 증가율이 크게 변화하는 경우 탐지
D5 트래픽 통신 비율 기반 탐지 정상적인 트래픽의 통신 비율(Inbound/Outbound 비율) 정보(사전정의 or 학습)을 기반으로 이에 크게 벗어 나는 경우 탐지
D6 고객 대역폭 기반 탐지 고객의 통신 자원 사양을 위협하는 경우 탐지
표 2를 참조하면, 1차 탐지부(503)는 트래픽량 학습 기반 탐지부(511), 트래픽 점유율 학습 기반 탐지부(513), 트래픽 빈도 기반 탐지부(515), 트래픽 증가율 기반 탐지부(517), 트래픽 통신 비율 기반 탐지부(519) 및 고객 대역폭 기반 탐지부(521)를 포함한다.
트래픽량 학습 기반 탐지부(511)는 표 2의 D1에 해당하는 탐지 동작을 수행하며, 도 4 및 도 5를 참고하여 설명하면 다음과 같다.
도 4를 참조하면, 트래픽량 학습 기반 탐지부(511)는 특정 IP 그룹을 대상으로 임의로 정한 일정 기간(요일, 시, 분 단위) 동안 수집된 트래픽 정보를 트래픽 수집부(501)로부터 수신한다(S201).
예를들어, 특정 IP 그룹을 대상으로 수집된 트래픽 정보는 다음 표 3과 같을 수 있다.
기간 BPS PPS 세션 개수
1주 1시 ~ 1시 15분 10Mbps 2kpps 500
2주 11Mbps 2.1kpps 530
3주 9.8Mbps 1.95kpps 510
4주 9.3Mbps 1.75kpps 480
5주 9.2Mbps 1.85kpps 450
6주 7.4Mbps 0.75kpps 380
7주 8.8Mbps 1.65kpps 430
8주 9.5Mbps 1.9kpps 480
9주 8.3Mbps 1.25kpps 470
10주 7.8Mbps 0.95kpps 420
표 3을 참고하면, 주단위로 매주 같은 시간(1시~1시 15분)에 수집된 트래픽의 단일 IP당 최대 BPS, PPS, 세션 개수를 표로 나타내었다.
트래픽량 학습 기반 탐지부(511)는 표 3과 같은 트래픽 정보를 토대로 BPS, PPS, 세션 개수를 각각 측정(S203)하고, 측정된 BPS, PPS, 세션 개수 별로 최상위 값을 임계치로 설정한다(S205). 이때, 최상위 값을 임계치로 설정시 상위 2개의 값과 하위 2개의 값을 제거하여 수집된 데이터의 왜곡을 방지한다.
즉, 표 3에서 상위 2개의 값인 1주차, 2주차 값과, 하위 2개의 값인 6주차와 10주차 값을 제외한 나머지 값들중에서 BPS, PPS, 세션 개수 모두 최상위인 3주차 값들을 임계치로 설정한다.
이후, 트래픽량 학습 기반 탐지부(511)는 트래픽 수집부(501)로부터 수신(S207)되는 대상 트래픽의 BPS, PPS, 세션 개수를 측정(S209)한다. 그리고 측정한 BPS, PPS, 세션 개수 중에서 적어도 하나가 S205 단계에서 설정된 임계치를 초과하는지 판단한다(S211). 이때, 측정한 BPS, PPS, 세션 개수가 S205 단계에서 설정된 각 임계치의 50% 이상의 값을 가지는지를 판단할 수 있다. 여기서, 50%는 변경될 수 있다.
S211 단계에서 초과하는 경우로 판단되면, 대상 트래픽을 비정상 트래픽으로 판단한다(S213). 반면, S211 단계에서 초과하지 않는 경우로 판단되면, S207 단계부터 다시 시작한다.
이와 같은, 트래픽량 학습 기반 탐지는 S201 단계~ S205 단계를 통하여 도 5a와 같은 정상적인 트래픽 흐름을 학습한 후, 도 5b와 같은 비정상적인 트래픽이 발생하는 것을 탐지할 수 있다.
트래픽 점유율 학습 기반 탐지부(513)는 표 2의 D2에 해당하는 탐지 동작을 수행하며, 도 6 및 도 7를 참고하여 설명하면 다음과 같다.
도 6을 참조하면, 트래픽 점유율 학습 기반 탐지부(513)는 특정 IP 그룹을 대상으로 임의로 정한 일정 기간(요일, 시, 분 단위) 동안 수집된 트래픽 정보를 트래픽 수집부(501)로부터 수신한다(S301). 예를들면, 표 3과 같이, 주단위로 매주 같은 시간(1시~1시 15분)에 수집된 트래픽의 단일 IP당 최대 BPS, PPS, 세션 개수를 기초로 전체 대역폭 또는 단일 서비스 대비 점유율을 측정한다(S303).
트래픽 점유율 학습 기반 탐지부(513)는 측정(S303)한 각 점유율의 최상위값을 임계치로 설정한다(S305). 이때, 최상위값을 임계치로 설정시 상위 2개의 값과 하위 2개의 값을 제거하여 수집된 데이터의 왜곡을 방지한다.
이후, 트래픽 점유율 학습 기반 탐지부(513)는 트래픽 수집부(501)로부터 수신(S307)되는 대상 트래픽의 BPS, PPS, 세션 개수 각각의 점유율을 측정(S309)한다. 그리고 측정한 BPS 점유율, PPS 점유율, 세션 개수 점유율 중에서 적어도 하나가 S305 단계에서 설정된 임계치를 초과하는지 판단한다(S311). 이때, 측정한 BPS 점유율, PPS 점유율, 세션 개수 점유율이 S305 단계에서 설정된 각 임계치의 50% 이상의 값을 가지는지를 판단할 수 있다. 여기서, 50%는 변경될 수 있다.
S311 단계에서 초과하는 경우로 판단되면, 대상 트래픽을 비정상 트래픽으로 판단한다(S313). 반면, S311 단계에서 초과하지 않는 경우로 판단되면, S307 단계부터 다시 시작한다.
이와 같은, 트래픽 점유율 학습 기반 탐지는 S301 단계~ S305 단계를 통하여 도 7a와 같은 정상적인 트래픽 점유율의 패턴을 학습한 후, 도 7b와 같은 비정상적인 트래픽이 발생하는 것을 탐지할 수 있다.
트래픽 빈도 기반 탐지부(515)는 표 2의 D3에 해당하는 탐지 동작을 수행하며, 동일한 목적지 IP를 대상으로 소스 IP 별로 트래픽의 개수와 각 소스 IP의 단위시간당 트래픽의 개수를 통해 트래픽 빈도를 탐지한다. 이를 도 8을 참고하여 설명하면 다음과 같다.
도 8을 참조하면, 트래픽 빈도 기반 탐지부(515)는 특정 IP 그룹을 대상으로 임의로 정한 일정 기간(요일, 시, 분 단위) 동안 수집된 트래픽 정보를 트래픽 수집부(501)로부터 수신한다(S401). 예를들면, 주단위로 매주 같은 시간(1시~1시 15분)에 수집된 트래픽 정보를 수신할 수 있다.
트래픽 빈도 기반 탐지부(515)는 트래픽 수집부(501)로부터 수신한 트래픽 정보를 기초로 소스 IP/Port와 목적지 IP/Port가 모두 동일한 트래픽의 개수를 카운트한다(S403). 보통, 하나의 플로우는 소스 IP/Port와 목적지 IP/Port가 동일하다. 즉, S403 단계에서는 플로우 별로 트래픽의 개수를 카운트한다.
예를들어, 특정 IP 그룹을 대상으로, 첫주 월요일 1시부터 1시 15분 사이에는 단일 IP당 1분 동안 최대 10,000개의 트래픽이 발생하였다. 이때, 서로 다른 각각의 소스 IP에서 동일 목적지 Port, 동일 목적지 IP 및 동일 프로토콜(tcp인 경우 flags도 포함)인 패킷이 최대 100개 발생하였다.
또한, 둘째주 1시부터 1시 15분사이에는 단일 IP당 1분 동안 최대 9,900개의 트래픽이 발생하였다. 이때, 서로 다른 각각의 소스 IP에서 동일 목적지 Port, 동일 목적지 IP 및 동일 프로토콜(tcp인 경우 flags도 포함)인 패킷이 최대 90개 발생하였다.
또한, 셋째주 1시부터 1시 15분사이에는 단일 IP당 1분 동안 최대 11,000개의 트래픽이 발생하였다. 이때, 서로 다른 각각의 소스 IP에서 동일 목적지 Port, 동일 목적지 IP 및 동일 프로토콜(tcp인 경우 flags도 포함)인 패킷이 최대 110개 발생하였다.
이때, 트래픽 빈도 기반 탐지부(515)는 임계치 설정시 상위 2개의 값과 하위 2개의 값을 제거하여 수집된 데이터의 왜곡을 방지한다. 즉, 트래픽 빈도 기반 탐지부(515)는 최상위 2개의 값, 즉, 첫째주와 셋째주의 값을 제외하고, 최상위값인 90개를 임계치로 설정할 수 있다.
이후, 트래픽 빈도 기반 탐지부(515)는 트래픽 수집부(501)로부터 수신(S307)되는 대상 트래픽의 단일 IP당 단위 시간(1분) 동안 발생한 트래픽 중에서 동일 목적지 Port, 동일 목적지 IP 및 동일 프로토콜을 대상으로 하는 트래픽 개수를 카운트한다(S409).
트래픽 빈도 기반 탐지부(515)는 카운트(S409)한 트래픽 개수가 S405 단계에서 설정한 임계치의 50% 이상인지를 판단한다(S411). 이때, 카운트(S409)한 트래픽 개수가 S405 단계에서 설정한 임계치의 50% 이상인 경우, 비정상 트래픽으로 판단한다(S413). 반면, 카운트(S409)한 트래픽 개수가 S405 단계에서 설정한 임계치의 50% 미만인 경우, S407 단계부터 다시 시작한다.
이상의 도 8은 임계치를 학습을 통해 설정되나, 운용자가 임의로 설정할 수도 있다.
트래픽 증가율 기반 탐지부(517)는 표 2의 D4에 해당하는 탐지 동작을 수행하며, 대부분의 네트워크 공격(예, DDos)의 경우 급격한 트래픽량의 증가를 통하여 공격 대상에게 영향을 미치는 점을 기초로 한다. 이를 도 9 및 도 10을 참고하여 설명하면 다음과 같다.
도 9를 참조하면, 트래픽 증가율 기반 탐지부(517)는 특정 IP 그룹을 대상으로 임의로 정한 일정 기간(요일, 시, 분 단위) 동안 수집된 트래픽 정보를 트래픽 수집부(501)로부터 수신한다(S501).
트래픽 증가율 기반 탐지부(517)는 단위 시간 별로 트래픽 양을 측정한다(S503). 트래픽 증가율 기반 탐지부(517)는 기준 시점(T1)의 트래픽 양이 기준 시점으로부터 단위 시간 만큼의 과거 시점인 바로 이전 시점(T2)의 최대 트래픽양을 초과하는지 판단한다(S505).
이때, 초과하면, 트래픽 증가율 기반 탐지부(517)는 바로 이전 시점(T2)으로부터 일정 시점까지의 임계 구간의 평균 트래픽양을 기초로 임계치를 설정한다(S507). 반면, 초과하지 않으면, S501 단계부터 다시 시작한다.
트래픽 증가율 기반 탐지부(517)는 기준 시점(T1)의 트래픽양이 설정(S507)된 임계치 이상인지를 판단한다(S509). 이때, 임계치 이상이면, 비정상 트래픽으로 판단한다(S511). 반면, 임계치 미만이면, S501 단계부터 다시 시작한다.
예를들면, 현재 시간이 01시 10분이고 특정 IP 그룹에서의 단일 IP의 최대 트래픽량이 10Mbps(BPS 개수), 1kpps(PPS 개수), 200(세션 개수)이라고 가정하자. 이때, 01시 11분(T1)에 특정 단일 IP의 트래픽량이 10Mbps(BPS 개수), 1kpps(PPS 개수), 200(세션 개수)을 초과(S505)하면, 이때, 트래픽량이 01시 5분부터 01시 10사이의 평균 트래픽량을 초과하는지 판단한다(S509). 여기서, 평균 트래픽량이 9Mbps(BPS 개수), 1.2Kpps(PPS 개수), 180(세션 개수)라면, 이를 기준으로 50% 이상인지를 판단할 수 있다. 즉, 01시 11분(T1)에 특정 단일 IP의 트래픽량이 15Mbps(BPS 개수), 1.5kpps(PPS 개수), 300(세션 개수)이면, 평균 트래픽량의 50% 이상, 즉, 13.5Mbps(BPS 개수) 이상이거나, 1.8kpps(PPS 개수) 이상이거나, 270(세션 개수) 이상인 경우에 해당하므로, 비정상 트래픽으로 판단된다.
트래픽 통신 비율 기반 탐지부(519)는 표 2의 D5에 해당하는 탐지 동작을 수행하며, 도 10및 도 11을 참고하여 설명하면 다음과 같다.
도 10을 참조하면, 트래픽 통신 비율 기반 탐지부(519)는 특정 IP 그룹을 대상으로 임의로 정한 일정 기간(요일, 시, 분 단위) 동안 수집된 트래픽 정보를 트래픽 수집부(501)로부터 수신한다(S601).
트래픽 통신 비율 기반 탐지부(519)는 인바운드 트래픽에 대한 아웃바운드 트래픽의 비율을 계산한다(S603).
트래픽 통신 비율 기반 탐지부(519)는 계산(S603)된 비율의 최상위값을 임계치로 설정한다(S605).
트래픽 통신 비율 기반 탐지부(519)는 트래픽 수집부(501)로부터 수신(S607)된 대상 트래픽을 인바운드 트래픽과 아웃바운드 트래픽으로 분류하고, 인바운드 트래픽에 대한 아웃바운드 트래픽의 비율을 계산한다(S609).
트래픽 통신 비율 기반 탐지부(519)는 계산(S609)된 비율이 S605 단계에서 설정된 임계치의 1/2(또는 50%) 이상인지를 판단한다(S611). 이때, 임계치의 1/2 이상이면, 비정상 트래픽으로 판단한다(S613). 반면, 임계치의 1/2 미만이면, S607 단계부터 다시 시작한다.
도 11a와 같이, 정상적인 통신의 경우, 인바운드 트래픽이 증가하면 이에 비례하여 아웃바운드 트래픽도 증가한다. 반면, 네트워크 공격의 경우, 도 11b와 같이, 인바운드 트래픽이 과도하게 증가하고 이에 반해 아웃바운드 트래픽의 증가는 비례하지 않는다. 이를 기초로, 트래픽 통신 비율 기반 탐지부(519)는 정상적인 통신 상태에서 인바운드 트래픽에 대한 아웃바운드 트래픽의 비율을 통하여 비례 상수를 도출한다. 그리고 비례 상수보다 높은 비율의 트래픽이 발생하는 경우, 즉, 인바운드 트래픽만 과도하게 증가하는 경우, 비정상 트래픽으로 탐지한다.
비례 상수는 전술한 바와 같이, 학습 방식으로 도출될 수 있다. 예를 들어 특정 IP그룹에서는 첫주 월요일 1시부터 1시 15분 사이에서는 단일 IP의 최대 인바운드 트래픽에 대한 아웃바운드 트래픽의 비율이 3이다.
또한, 둘째주 월요일 1시부터 1시 15분 사이에서는 단일 IP의 최대 인바운드 트래픽에 대한 아웃바운드 트래픽의 비율이 2이다.
또한, 셋째주 월요일 1시부터 1시 15분 사이에서는 단일 IP의 최대 인바운드 트래픽에 대한 아웃바운드 트래픽의 비율이 4이다.
이때, 3, 2, 4 중에서 상위 2번째로 높은 값인 3을 비례 상수로 선택할 수 있다. 혹은, 산출된 비율이 더 많을 경우, 상위 2개의 값과 하위 2개의 값을 제외하고 최상위 값을 비례 상수로 선택할 수도 있다.
그러면, 트래픽 통신 비율 기반 탐지부(519)는 이후 수집된 대상 트래픽에서 인바운드 트래픽에 대한 아웃바운드 트래픽의 비율이 비례 상수보다 50% 이하인 트래픽이 발생하는 경우, 비정상 트래픽으로 탐지한다. 인바운드 트래픽에 대한 아웃바운드 트래픽의 비율이 비례 상수보다 작아진 것은 분모, 즉 인바운드 트래픽이 분자인 아웃바운드 트래픽보다 커진 것을 의미한다. 여기서, 50%는 선택적인 값으로서, 변경이 가능하다. 또한, 단순히 비례 상수만을 판단의 기준으로 할 수도 있다.
다른 실시예에 따르면, 비례 상수는 운용자에 의해 사전에 정의될 수 있다. 즉, 인바운드 트래픽에 대한 아웃바운드 트래픽의 비율인 비례 상수를 디폴트(default)로 정할 수도 있다.
고객 대역폭 기반 탐지부(521)는 표 2의 D6에 해당하는 탐지 동작을 수행한다. 고객 대역폭 기반 탐지는 가입자의 백본 네트워크 보호와 네트워크 가용성 모니터링을 목적으로 한다. 민감도가 낮은 가입자의 경우에도 백본 네트워크의 가용성을 위협하는 경우에는 비정상 트래픽 탐지가 필요하다. 따라서, 고객 대역폭은 가입자의 영향도에 대하여 판단하는데 가장 중요한 탐지로 사용된다. 도 12 및 도 13을 참고하여 설명하면 다음과 같다.
도 12를 참조하면, 고객 대역폭 기반 탐지부(521)는 가입 대역폭을 토대로 가용 대역폭, BPS, PPS, 세션 개수 각각의 임계치를 설정한다(S701).
고객 대역폭 기반 탐지부(521)는 대상 트래픽이 트래픽 수집부(501)로부터 전달되면(S703), 수집한 트래픽을 기초로 가용 대역폭, BPS, PPS, 세션 개수를 각각 측정한다(S705).
고객 대역폭 기반 탐지부(521)는 S705 단계에서 측정된 적어도 하나의 측정값이 S701 단계에서 설정한 임계치 이상인지 판단한다(S707). 이때, 적어도 하나의 측정값이 임계치 이상이면, 비정상 트래픽으로 판단한다(S709). 반면, 모두 임계치 미만이면, S703 단계부터 다시 시작한다.
예를들면, 가입 대역폭이 10G일 때, 가용 대역폭의 임계치는 8G, BPS는 5Mbps, PPS는 100kpps, 세션 개수는 520개로 설정될 수 있다. 이처럼 설정된 임계치 중 적어도 하나의 임계치 이상의 측정값이 도출되면, 고객 대역폭 기반 탐지부(521)는 비정상 트래픽으로 판단한다.
즉, 도 13a와 같이, 정상 상태에서의 가용 대역폭, BPS, PPS, 세션 개수는 고객 대역폭 내에 있으나, 도 13b와 같이, 가용 대역폭, BPS, PPS, 세션 개수 중 적어도 하나가 가입 대역폭을 벗어나는 경우, 비정상 트래픽으로 판단한다.
다시, 도 3을 참조하면, 탐지 방식 선택부(505)는 민감도 레벨 DB(507)에 저장된 복수의 민감도 레벨 중에서 가입자가 지정한 민감도 레벨을 선택한다. 그리고 선택한 민감도 레벨에 정의된 서로 다른 적어도 두개의 탐지 방식을 구동하는 각각의 제어 신호를 1차 탐지부(503)로 출력한다. 그러면, 1차 탐지부(503)를 구성하는 각 탐지부(511, 513, 515, 517, 519, 521)는 탐지 방식 선택부(505)로부터 제어 신호가 수신된 경우, 탐지를 수행한다. 반대로, 제어 신호가 수신되지 않은 경우, 탐지를 수행하지 않는다.
민감도 레벨 DB(507)는 표 1의 민감도 레벨 정보와 가입자 별로 가입자가 지정한 민감도 레벨 정보 등을 저장한다.
2차 탐지부(509)는 탐지 방식 선택부(505)가 선택한 1차 탐지부(503)의 탐지 결과를 조합하여 최종적인 비정상 트래픽 탐지를 수행한다. 2차 탐지부(509)는 1차 탐지부(503)의 탐지 결과를 입력으로 하는 다수의 논리 게이트를 이용한 논리 연산을 통해 최종적인 비정상 트래픽 탐지를 수행한다. 이러한 2차 탐지부(509)의 동작에 대하여 도 14를 참고하여 설명한다.
도 14는 본 발명의 실시예에 따른 민감도 레벨에 따른 비정상 트래픽 탐지 동작을 나타낸 논리 회로도이다.
도 14를 참조하면, 2차 탐지부(509)는 다수의 논리곱(AND) 게이트(A, B, C, D, E, F, G, I, L, M, N, O), 다수의 논리합(OR) 게이트(H, J, K, P) 및 탐지 결과 출력부(509-1)를 포함한다.
2차 탐지부(509)는 다수의 논리곱(AND) 게이트(A, B, C, D, E, F, G, I, L, M, N, O), 다수의 논리합(OR) 게이트(H, J, K, P)를 이용하여, 1차 탐지부(503)의 결과를 조합함으로써, L1 레벨 탐지, L2 레벨 탐지, L3 레벨 탐지 및 L4 레벨 탐지 중 적어도 하나의 탐지를 선택적으로 수행한다.
L1 레벨 탐지는 1차 탐지부(503)를 구성하는 서로 다른 복수의 기준 중에서, 고객 대역폭을 이용하는 기준을 제외한 나머지 기준들 중에서 적어도 하나를 충족하는 경우에 해당한다. 구체적으로, L1 레벨 탐지는 트래픽량 학습 기반 탐지부(511)의 결과(d1), 트래픽 점유율 학습 기반 탐지부(513)의 결과(d2), 트래픽 패턴 기반 탐지부(515)의 결과(d3), 트래픽 증가율 기반 탐지부(517)의 결과(d4), 트래픽 통신 비율 기반 탐지부(519)의 결과(d5) 중 적어도 하나가 비정상 트래픽으로 탐지되는 경우, 최종적으로 비정상 트래픽 탐지 결과를 출력한다.
L1 레벨 탐지를 위한 논리 회로는 H 게이트와 L 게이트를 포함하고, L 게이트의 출력은 P 게이트로 입력된다. H 게이트는 d1, d2, d3, d4, d5를 입력받아 OR 연산한 결과를 L 게이트로 출력한다. L 게이트는 탐지 방식 선택부(505)의 선택 신호와 H 게이트의 연산 결과를 AND 연산하여 그 결과를 P 게이트로 출력한다.
L2 레벨 탐지는 1차 탐지부(503)를 구성하는 서로 다른 복수의 기준 중에서 일부를 조합한 최소 검증 탐지에 해당한다. 구체적으로, 학습 기반 탐지, 빈도 기반 탐지, 통신 기반 탐지 중 적어도 하나에서 비정상 트래픽으로 탐지되는 경우, 최종적으로 비정상 트래픽 탐지 결과를 출력한다.
학습 기반 탐지는 한 개의 AND 게이트(A)를 이용한다. 이때, 두개의 입력이 모두 참(1)일 경우, 결과 역시 참(1)이다. 학습 기반 탐지에서는 트래픽량 학습 기반 탐지부(511)의 결과(d1)와 트래픽 점유율 학습 기반 탐지부(513)의 결과(d2)를 입력으로 하는 하나의 AND 게이트(A)를 이용한다. 즉, 2차 탐지부(509)의 학습 기반 탐지는 트래픽량 학습 기반 탐지부(511)와 트래픽 점유율 학습 기반 탐지부(513)에서 모두 비정상 트래픽으로 탐지된 경우, 비정상 트래픽으로 판단한다.
네트워크 공격은 하나의 대상에 집중적으로 트래픽이 몰리는 현상이 있다. 따라서, 공격을 받은 대상 IP의 인바운드(Inbound) 트래픽량이 증가하면서 해당 대역에서 대상 IP가 차지하는 인바운드 트래픽 비율은 동시에 증가한다. 따라서, 학습 기반 탐지는 트래픽량 학습 기반 탐지와 트래픽 점유율 학습 기반 탐지에서 모두 탐지되는 경우, 비정상 트래픽일 가능성이 높은 것을 고려한 방식이다.
통신 기반 탐지는 한 개의 AND 게이트(E)를 이용한다. 이때, 두개의 입력이 모두 참(1)일 경우, 결과 역시 참(1)이다.
트래픽 증가율 기반 탐지부(517)의 결과(d4), 트래픽 통신 비율 기반 탐지부(519)의 결과(d5)를 입력으로 하는 하나의 AND 게이트(E)를 이용한다. 즉, 2차 탐지부(509)의 통신 기반 탐지는 트래픽 증가율 기반 탐지부(517)와 트래픽 통신 비율 기반 탐지부(519)에서 모두 비정상 트래픽으로 탐지된 경우, 비정상 트래픽으로 판단한다.
트래픽의 단순 증가는 네트워크 공격이나, 다운로드 상황에서도 발생한다. 정상적인 통신에서는 트래픽양이 증가하면, 인바운드 트래픽과 아웃바웃드 트래픽은 상호 비례해서 증가한다. 따라서, 트래픽 증가율 기반 탐지부(517)에서는 비정상 트래픽으로 탐지되었어도 트래픽 통신 비율 기반 탐지부(519)에서는 정상적인 트래픽으로 탐지된 경우는 정상적인 통신이라 할 수 있다. 즉, 전체 트래픽양이 증가하는 경우 비정상적인 트래픽으로 탐지하였어도, 인바운드 트래픽과 아웃바운드 트래픽이 서로 비례하여 증가하는 경우, 정상적인 통신이라 할 수 있다.
이러한 내용을 기초로, L2 레벨 탐지를 위한 논리 회로는 A 게이트, E 게이트, J 게이트 및 M 게이트를 포함하고, M 게이트의 출력은 P 게이트로 입력된다.
J 게이트는 학습 기반 탐지를 위한 A 게이트의 출력, 통신 기반 탐지를 위한 E 게이트의 출력 및 빈도 기반 탐지의 출력(d3)을 입력으로 OR 연산하고, 그 결과를 M 게이트로 출력한다. M 게이트는 탐지 방식 선택부(505)의 선택 신호와 J 게이트의 출력을 AND 연산하고, 그 결과를 P 게이트로 출력한다.
L3 레벨 탐지는 학습-빈도 탐지, 빈도-증가율 기반 탐지, 학습-증가율 기반 탐지, 학습-통신 기반 탐지, 빈도-통신 기반 탐지 중 적어도 하나에서 비정상 트래픽으로 탐지되는 경우, 최종적으로 비정상 트래픽 탐지 결과를 출력한다. L3 레벨 탐지는 서로 다른 타입의 기준을 적어도 2개 AND 조합하고, AND 조합된 결과를 OR 조합하는 방식이다.
여기서, 학습-빈도 탐지는 두개의 AND 게이트(A, B)를 이용한다. 즉, AND 게이트(B)의 입력인 AND 게이트(A)의 출력과 입력(d3)이 모두 참(1)일 경우, 결과 역시 참(1)이다.
학습-빈도 기반 탐지는 트래픽량 학습 기반 탐지부(511)의 결과(d1) 및 트래픽 점유율 학습 기반 탐지부(513)의 결과(d2)를 AND 연산한 결과와 트래픽 빈도 기반 탐지부(515)의 결과(d3)를 입력으로 AND 연산한다. 즉, 학습-빈도 기반 탐지는 트래픽량 학습 기반 탐지, 트래픽 점유율 학습 기반 탐지 및 트래픽 빈도 기반 탐지에서 모두 비정상 트래픽으로 탐지된 경우, 비정상 트래픽으로 판단한다.
이러한 학습-빈도 기반 탐지는 학습 기반 탐지에서 비정상적인 트래픽이 탐지된 경우, 비정상적인 트래픽 빈도에 대해서 추가 검증하는 방식이다.
빈도-증가율 기반 탐지는 한개의 AND 게이트(C)를 이용한다. 즉, 입력이 모두 참(1)일 경우, 출력 역시 참(1)이다.
빈도-증가율 기반 탐지는 트래픽 패턴 기반 탐지부(515)의 결과(d3)와 트래픽 증가율 기반 탐지부(517)의 결과(d4)를 입력으로 하는 하나의 AND 게이트(C)를 이용한다. 따라서, 트래픽 패턴 기반 탐지와 트래픽 증가율 기반 탐지에서 모두 비정상 트래픽으로 탐지된 경우, 비정상 트래픽으로 판단한다.
트래픽의 단순 증가는 네트워크 공격을 원인으로 할 수도 있으나, 다운로드 상황에서도 발생한다. 따라서, 빈도-증가율 기반 탐지는 인바운드 트래픽의 출발지 IP가 증가하였는지를 판단하고 추가로 출발지 IP 별로 단위시간 당 패킷의 개수가 증가하였는지를 판단하는 방식이다.
학습-증가율 기반 탐지는 두개의 AND 게이트(A, D)를 이용한다. 즉, AND 게이트(D)의 입력인 AND 게이트(A)의 출력과 입력(d4)이 모두 참(1)일 경우, 결과 역시 참(1)이다.
학습-증가율 기반 탐지는 트래픽량 학습 기반 탐지부(511)의 결과(d1) 및 트래픽 점유율 학습 기반 탐지부(513)의 결과(d2)를 AND 연산한 결과와 트래픽 증가율 기반 탐지부(517)의 결과(d4)를 입력으로 AND 연산한다. 즉, 학습-증가율 기반 탐지는 트래픽량 학습 기반 탐지, 트래픽 점유율 학습 기반 탐지 및 트래픽 증가율 기반 탐지에서 모두 비정상 트래픽으로 탐지된 경우, 비정상 트래픽으로 판단한다.
이러한 학습-증가율 기반 탐지는 학습 기반 탐지에서 비정상적인 트래픽 추이가 탐지된 경우, 약간의 트래픽 증가라도 일정시간(예, 3분 이상) 동안 지속되어야 비정상 트래픽으로 판단한다.
학습-통신 기반 탐지는 세개의 AND 게이트(A, E, F)를 이용한다. 즉, AND 게이트(A)와 AND 게이트(E)의 출력이 모두 참(1)일 경우, 이들을 입력으로 하는 AND 게이트(F)의 출력 역시 참(1)이다.
학습-통신 기반 탐지는 트래픽량 학습 기반 탐지부(511)의 결과(d1), 트래픽 점유율 학습 기반 탐지부(513)의 결과(d2)를 AND 연산한 결과와, 트래픽 증가율 기반 탐지부(517)의 결과(d4), 트래픽 통신 비율 기반 탐지부(519)의 결과(d5)를 AND 연산한 결과를 입력으로 AND 연산한다. 즉, 학습 기반 탐지와 통신 기반 탐지에서 모두 비정상 트래픽으로 탐지된 경우, 비정상 트래픽으로 판단한다.
이와 같은, 학습-통신 기반 탐지는 기존의 추이와 다른 트래픽이 탐지 된 경우, 단순히 통신량 증가에 의한 것인지 또는 과도한 비정상적 인바운드 트래픽이 발생한 것인지를 추가 검증할 수 있다.
빈도-통신 기반 탐지는 두개의 AND 게이트(E, G)를 이용한다. 즉, 트래픽 빈도 기반 탐지부(515)의 출력(d3), 트래픽 증가율 기반 탐지부(517)의 결과(d4) 및 트래픽 통신 비율 기반 탐지부(519)의 결과(d5)가 모두 참(1)일 경우, 이들을 입력으로 하는 AND 게이트(G)의 출력 역시 참(1)이다.
빈도-통신 기반 탐지는 트래픽 증가율 기반 탐지부(517)의 결과(d4) 및 트래픽 통신 비율 기반 탐지부(519)의 결과(d5)를 AND 연산한 결과와, 트래픽 빈도 기반 탐지부(515)의 출력(d3)을 AND 연산한다. 즉, 빈도-통신 기반 탐지는 트래픽 빈도 기반 탐지와 통신 기반 탐지에서 모두 비정상 트래픽으로 탐지된 경우, 비정상 트래픽으로 판단한다.
이와 같은, 빈도-통신 기반 탐지는 네트워크 공격 패턴을 가지는 트래픽이 발생하더라도 이것이 이벤트나 내부 장애 등에 의해서도 발생될 수 있는 가능성이 있으므로, 이를 고려하여 통신량의 증가에 의한 것인지를 추가로 판단할 수 있다.
이러한 내용을 기초로, L3 레벨 탐지를 위한 논리 회로는 A 게이트, B 게이트, C 게이트, D 게이트, F 게이트, G 게이트, K 게이트 및 N 게이트를 포함하고, N 게이트의 출력은 P 게이트로 입력된다. N 게이트는 탐지 방식 선택부(505)의 선택 신호와 K 게이트의 출력을 AND 연산하고, 그 결과를 P 게이트로 출력한다.
K 게이트는 B 게이트, D 게이트, F 게이트, C 게이트 및 G 게이트를 입력으로 OR 연산하고, 그 결과를 N 게이트로 출력한다. B 게이트는 A 게이트의 출력 및 트래픽 패턴 기반 탐지부(515)의 결과(d3)를 AND 연산한다. A 게이트는 트래픽량 학습 기반 탐지부(511)의 결과(d1) 및 트래픽 점유율 학습 기반 탐지부(513)의 결과(d2)를 AND 연산한다. D 게이트는 A 게이트의 출력 및 트래픽 증가율 기반 탐지부(517)의 결과(d4)를 AND 연산한다. F 게이트는 A 게이트의 출력 및 E 게이트의 출력을 AND 연산한다. E 게이트는 트래픽 증가율 기반 탐지부(517)의 결과(d4) 및 트래픽 통신 비율 기반 탐지부(519)의 결과(d5)를 AND 연산한다. C 게이트는 트래픽 패턴 기반 탐지부(515)의 결과(d3) 및 트래픽 증가율 기반 탐지부(517)의 결과(d4)를 AND 연산한다. G 게이트는 트래픽 패턴 기반 탐지부(515)의 결과(d3) 및 E 게이트의 출력을 AND 연산한다.
L4 레벨 탐지는 다중 탐지를 통해 비정상 트래픽을 탐지한다. 다중 탐지는 한 개의 OR 게이트(H)와 한 개의 AND 게이트(I)를 이용한다.
다중 탐지는 트래픽량 학습 기반 탐지부(511)의 결과(d1), 트래픽 점유율 학습 기반 탐지부(513)의 결과(d2), 트래픽 패턴 기반 탐지부(515)의 결과(d3), 트래픽 증가율 기반 탐지부(517)의 결과(d4), 트래픽 통신 비율 기반 탐지부(519)의 결과(d5)를 입력으로 OR 연산한 결과 및 고객 회선 정보 기반 탐지부(521)의 결과(d6)를 입력으로 AND 연산한다. 이러한 다중 탐지는 트래픽량 학습 기반 탐지부(511), 트래픽 점유율 학습 기반 탐지부(513), 트래픽 패턴 기반 탐지부(515), 트래픽 증가율 기반 탐지부(517), 트래픽 통신 비율 기반 탐지부(519) 중 적어도 하나를 통하여 비정상 트래픽을 탐지하였더라도, 이 트래픽이 고객의 백본 가용성을 위협하는 경우에 비정상 트래픽으로 탐지하는 방식이다.
L4 레벨 탐지는 H 게이트, I 게이트 및 O 게이트를 포함한다. O 게이트는 탐지 방식 선택부(505)의 선택 신호와 I 게이트의 출력을 AND 연산하고, 그 결과를 P 게이트로 출력한다. I 게이트는 H 게이트의 출력 및 고객 대역폭 기반 탐지부(521)의 결과(d6)를 AND 연산한다.
P 게이트는 L 게이트, M 게이트, N 게이트 및 O 게이트를 입력으로 OR 연산한 결과를 최종 비정상 트래픽 탐지 결과로 출력한다.
탐지 결과 출력부(509-1)는 P 게이트의 출력값을 토대로, 비정상 트래픽 탐지를 알리는 시각적 또는 청각적 알람을 외부로 출력한다. 또한, 비정상 트래픽 탐지가 출력된 탐지부(511, 513, 515, 517, 519, 521)가 어느 것인지와 그 탐지 결과를 탐지 정보로 가공하여 출력할 수 있다.
한편, 도 15는 본 발명의 실시예에 따른 비정상 트래픽 탐지 장치의 하드웨어 블록도로서, 도 1 ~ 도 14에서 설명한 비정상 트래픽 탐지 장치(500)의 하드웨어 구성을 나타낸다.
도 15를 참조하면, 비정상 트래픽 탐지 장치(600)는 통신 장치(601), 메모리(603) 및 적어도 하나의 프로세서(605)를 포함한다. 통신 장치(601)는 적어도 하나의 프로세서(605)와 연결되어, 데이터를 송수신 처리를 한다. 메모리(603)는 적어도 하나의 프로세서(605)와 연결되어, 도 1 내지 도 14에서 설명한 실시예들에 따른 구성 및/또는 방법을 실행하게 하는 명령어들을 포함하는 프로그램을 저장한다. 프로그램은 메모리(603) 및 적어도 하나의 프로세서(605) 등의 하드웨어와 결합하여 본 발명을 구현한다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (15)

  1. 적어도 하나의 프로세서에 의해 동작하는 비정상 트래픽 탐지 장치가 비정상 트래픽을 탐지하는 방법으로서,
    비정상 트래픽 탐지 결과의 예민한 정도를 나타내고 정확도와는 상반된 특성을 가진 민감도를 상기 민감도의 크기를 기준으로 계층화한 복수의 민감도 레벨 중에서 하나의 민감도 레벨을 선택하는 단계,
    서로 다른 복수의 비정상 트래픽 탐지 기준 중에서, 상기 선택한 민감도 레벨에 정의된 적어도 두개의 비정상 트래픽 탐지 기준을 선택하는 단계, 그리고
    선택한 적어도 두개의 비정상 트래픽 탐지 기준을 이용하여 비정상 트래픽을 각각 탐지하고, 각각의 비정상 트래픽 탐지 결과를 조합하여 조합한 결과를 기초로 최종적인 비정상 트래픽을 탐지하는 단계를 포함하고,
    상기 서로 다른 복수의 비정상 트래픽 탐지 기준은,
    비정상 트래픽을 판정하는 방식이 상이하며,
    상기 민감도 레벨은,
    중복 검증 탐지 레벨을 포함하고,
    상기 탐지하는 단계는,
    상기 복수의 민감도 레벨 중에서 상기 중복 검증 탐지 레벨이 선택된 경우, 서로 다른 비정상 트래픽 탐지 기준을 두 개씩 조합하여, 복수개의 기준 조합 쌍을 생성하는 단계, 그리고
    상기 복수개의 기준 조합 쌍 중에서 적어도 하나의 기준 조합 쌍에 포함된 두개의 서로 다른 비정상 트래픽 탐지 기준 조건 모두에서 비정상 트래픽이 감지되면, 최종적으로 비정상 트래픽으로 탐지하는 단계
    를 포함하는, 비정상 트래픽 탐지 방법.
  2. 제1항에서,
    상기 민감도 레벨은, 가장 민감한 탐지 레벨을 포함하고,
    상기 탐지하는 단계는,
    상기 가장 민감한 탐지 레벨이 선택된 경우, 상기 서로 다른 복수의 비정상 트래픽 탐지 기준 중에서 적어도 하나의 기준에 따라 비정상 트래픽이 감지되면, 최종적으로 비정상 트래픽으로 탐지하는, 비정상 트래픽 탐지 방법.
  3. 제1항에서,
    상기 민감도 레벨은, 최소 검증 탐지 레벨을 포함하고,
    상기 탐지하는 단계는,
    상기 최소 검증 탐지 레벨이 선택된 경우, 상기 서로 다른 복수의 비정상 트래픽 탐지 기준 중에서 상호 보완되는 적어도 두개의 기준을 조합하는 단계, 그리고
    조합된 적어도 두개의 기준 모두에서 비정상 트래픽이 감지되면, 최종적으로비정상 트래픽으로 판단하는 단계
    를 포함하는, 비정상 트래픽 탐지 방법.
  4. 제3항에서,
    상기 조합하는 단계는,
    상기 상호 보완되는 적어도 두개의 기준으로 조합된 기준 조합 쌍을 복수개 형성하고,
    상기 탐지하는 단계는,
    상기 상호 보완되는 적어도 두개의 기준으로 조합된 복수개의 기준 조합 쌍 중에서 적어도 하나에서 비정상 트래픽이 감지되면, 최종적으로 비정상 트래픽으로 판단하는, 비정상 트래픽 탐지 방법.
  5. 삭제
  6. 제1항에서,
    상기 민감도 레벨은, 정확도 높은 탐지 레벨을 포함하고,
    상기 탐지하는 단계는,
    상기 정확도 높은 탐지 레벨이 선택된 경우, 상기 서로 다른 복수의 비정상 트래픽 탐지 기준 중에서 적어도 하나의 기준에서 비정상 트래픽이 감지되고, 고객 대역폭의 가용 대역폭 조건을 충족하지 못하는 경우, 비정상 트래픽으로 탐지하는, 비정상 트래픽 탐지 방법.
  7. 제1항에서,
    상기 서로 다른 복수의 비정상 트래픽 탐지 기준은,
    임의로 정한 일정 기간동안 수집된 과거 트래픽의 패턴을 학습한 결과를 임계 기준으로 사용하는 학습 기준,
    상기 과거 트래픽의 빈도를 임계 기준으로 사용하는 빈도 기준,
    상기 과거 트래픽의 증가율을 임계 기준으로 사용하는 증가율 기준,
    인바운드 트래픽에 대한 아웃바운드 트래픽의 통신 비율, 그리고
    가입 대역 폭에 따른 가용 대역폭 기준 중 적어도 하나를 포함하는, 비정상 트래픽 탐지 방법.
  8. 통신 장치,
    비정상 트래픽 탐지 프로그램을 저장하는 메모리, 그리고
    상기 비정상 트래픽 탐지 프로그램을 실행하는 적어도 하나의 프로세서를 포함하고,
    상기 비정상 트래픽 탐지 프로그램은,
    비정상 트래픽 탐지 결과의 예민한 정도를 나타내고 정확도와는 상반된 특성을 가진 민감도를 상기 민감도의 크기를 기준으로 계층화한 복수의 민감도 레벨 중에서 선택한 민감도 레벨에 정의된 복수개의 비정상 트래픽 탐지 방식들을 이용하여 비정상 트래픽 탐지를 각각 수행하고,
    각각의 비정상 트래픽 탐지 결과를 논리 연산하여 논리 연산된 결과를 기초로 최종적인 비정상 트래픽 여부를 결정하고,
    상기 복수의 민감도 레벨 중에서 중복 검증 탐지 레벨을 선택한 경우,
    서로 다른 복수의 비정상 트래픽 탐지 기준들을 두 개씩 조합하여 복수개의 기준 조합 쌍들을 생성하고,
    복수개의 기준 조합 쌍들 별로, 각각의 기준 조합 쌍에 포함된 두개의 서로 다른 비정상 트래픽 탐지 기준 조건의 비정상 트래픽 탐지 결과를 논리곱(AND) 연산하고,
    상기 복수개의 기준 조합 쌍들의 논리곱(AND) 연산 결과들을 논리합(OR) 연산한 결과를 기초로 최종적인 비정상 트래픽 여부를 결정하는 명령어들(Instructions)을 포함하는, 비정상 트래픽 탐지 장치.
  9. 제8항에서,
    상기 비정상 트래픽 탐지 프로그램은,
    상기 서로 다른 비정상 트래픽 탐지 방식 중에서 상기 민감도 레벨에 따라 선택된 비정상 트래픽 탐지 방식들을 선택적으로 논리합(OR) 연산 또는 논리곱(AND) 연산하는 명령어들을 포함하는, 비정상 트래픽 탐지 장치.
  10. 제9항에서,
    상기 비정상 트래픽 탐지 프로그램은,
    가장 민감한 탐지 레벨, 검증 탐지 레벨 및 정확도 높은 탐지 레벨 중 적어도 하나의 민감도 레벨에 따른 비정상 트래픽 탐지 동작을 수행하는 명령어들을 포함하고,
    상기 가장 민감한 탐지 레벨은,
    상기 서로 다른 복수의 비정상 트래픽 탐지 조건을 모두 논리합(OR) 연산하도록 설정되고,
    상기 검증 탐지 레벨은,
    상기 복수의 비정상 트래픽 탐지 조건 중에서 상호 보완되는 적어도 두개의 비정상 트래픽 탐지 조건을 논리곱(AND) 연산한 복수의 결과를 논리합(OR) 연산하도록 설정되며,
    상기 정확도 높은 탐지 레벨은,
    상기 복수의 비정상 트래픽 탐지 조건을 모두 논리합(OR) 연산한 결과와 가입 대역폭에 따른 조건을 논리곱(AND) 연산하도록 설정되는, 비정상 트래픽 탐지 장치.
  11. 서로 다른 복수의 비정상 트래픽 탐지 기준을 이용하는 각각의 비정상 트래픽 탐지 동작을 수행하는 1차 탐지부, 그리고
    상기 각각의 비정상 트래픽 탐지 동작의 탐지 결과 중에서 민감도 레벨에 따라 선택된 탐지 결과를 논리곱(AND) 또는 논리합(OR) 연산한 결과를 최종 비정상 트래픽 탐지 결과로 출력하는 2차 탐지부를 포함하고,
    상기 민감도 레벨은,
    중복 검증 탐지 레벨을 포함하고,
    상기 중복 검증 탐지 레벨은,
    상기 서로 다른 복수의 비정상 트래픽 탐지 기준을 두 개씩 조합하여 복수개의 기준 조합 쌍들을 생성하고, 복수개의 기준 조합 쌍들 별로, 각각의 기준 조합 쌍에 포함된 두개의 서로 다른 비정상 트래픽 탐지 기준 조건의 비정상 트래픽 탐지 결과를 논리곱(AND) 연산하여, 상기 복수개의 기준 조합 쌍들의 논리곱(AND) 연산 결과들을 논리합(OR) 연산한 결과를 기초로 최종적인 비정상 트래픽 여부를 결정하도록 설정된, 비정상 트래픽 탐지 장치.
  12. 제11항에서,
    상기 1차 탐지부는,
    트래픽의 총량이 임계치 이상이면 비정상 트래픽으로 탐지하는 트래픽량 기반 탐지부,
    트래픽의 점유율이 임계치 이상이면 비정상 트래픽으로 탐지하는 트래픽 점유율 기반 탐지부,
    소스 주소 및 목적지 주소가 모두 동일한 트래픽 개수가 임계치 이상이면 비정상 트래픽으로 탐지하는 트래픽 빈도 기반 탐지부,
    단위 시간 동안 트래픽 증가율이 임계치 이상이면 비정상 트래픽으로 탐지하는 트래픽 증가율 기반 탐지부,
    인바운드 트래픽에 대한 아웃바운드 트래픽의 비율이 임계치 이하이면 비정상 트래픽으로 탐지하는 트래픽 통신 비율 기반 탐지부, 그리고
    현재 가용 대역폭이 가입 대역폭을 기초로 설정된 임계 대역폭 이하이면, 비정상 트래픽으로 탐지하는 고객 대역폭 기반 탐지부
    를 포함하는, 비정상 트래픽 탐지 장치.
  13. 제12항에서,
    상기 민감도 레벨은,
    상기 트래픽량 기반 탐지부, 상기 트래픽 점유율 기반 탐지부, 상기 트래픽 빈도 기반 탐지부, 상기 트래픽 증가율 기반 탐지부, 상기 트래픽 통신 비율 기반 탐지부 및 상기 고객 대역폭 기반 탐지부 각각의 탐지 결과를 논리합(OR) 연산하도록 설정되는 가장 민감한 레벨,
    상기 각각의 탐지 결과 중에서 상호 보완되는 적어도 두개의 탐지 결과를 논리곱(AND) 연산한 복수의 결과를 논리합(OR) 연산하도록 설정되는 검증 탐지 레벨, 그리고
    상기 각각의 탐지 결과를 모두 논리합(OR) 연산한 결과와 가입 대역폭에 따른 조건을 논리곱(AND) 연산하도록 설정되는 정확도 높은 탐지 레벨
    중 적어도 하나를 포함하는, 비정상 트래픽 탐지 장치.
  14. 제13항에서,
    상기 검증 탐지 레벨은,
    상기 트래픽량 기반 탐지부 및 상기 트래픽 점유율 기반 탐지부의 각각의 탐지 결과를 논리곱(AND) 연산한 결과,
    상기 트래픽 증가율 기반 탐지부 및 상기 트래픽 통신 비율 기반 탐지부의 각각의 탐지 결과를 논리곱(AND) 연산한 결과, 그리고
    상기 트래픽 빈도 기반 탐지부의 탐지 결과
    를 논리합(OR) 연산하도록 설정되는, 비정상 트래픽 탐지 장치.
  15. 제14항에서,
    상기 검증 탐지 레벨은,
    상기 트래픽 빈도 기반 탐지부 및 상기 트래픽 증가율 기반 탐지부의 각각의 탐지 결과를 논리곱(AND) 연산한 결과,
    상기 트래픽량 기반 탐지부, 상기 트래픽 점유율 기반 탐지부 및 상기 트래픽 빈도 기반 탐지부의 각각의 탐지 결과를 논리곱(AND) 연산한 결과,
    상기 트래픽량 기반 탐지부, 상기 트래픽 점유율 기반 탐지부 및 상기 트래픽 증가율 기반 탐지부의 각각의 탐지 결과를 논리곱(AND) 연산한 결과,
    상기 트래픽량 기반 탐지부, 상기 트래픽 점유율 기반 탐지부, 상기 트래픽 증가율 기반 탐지부 및 상기 트래픽 통신 비율 기반 탐지부의 각각의 탐지 결과를 논리곱(AND) 연산한 결과, 그리고
    상기 트래픽 빈도 기반 탐지부 및 상기 트래픽 통신 비율 기반 탐지부 각각의 탐지 결과를 논리곱(AND) 연산한 결과
    중 적어도 두개를 논리합(OR) 연산하도록 설정되는, 비정상 트래픽 탐지 장치.
KR1020180090135A 2018-08-02 2018-08-02 비정상 트래픽 탐지 방법 및 그 장치 KR102616173B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180090135A KR102616173B1 (ko) 2018-08-02 2018-08-02 비정상 트래픽 탐지 방법 및 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180090135A KR102616173B1 (ko) 2018-08-02 2018-08-02 비정상 트래픽 탐지 방법 및 그 장치

Publications (2)

Publication Number Publication Date
KR20200014968A KR20200014968A (ko) 2020-02-12
KR102616173B1 true KR102616173B1 (ko) 2023-12-19

Family

ID=69569572

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180090135A KR102616173B1 (ko) 2018-08-02 2018-08-02 비정상 트래픽 탐지 방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR102616173B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102293044B1 (ko) * 2020-10-20 2021-08-25 주식회사 지케스 융합관리 플랫폼인 아이씨밤의 트래픽 성능 오탐방지 및 장애예측 장치
CN113064905B (zh) * 2021-03-25 2024-04-16 北京京东乾石科技有限公司 业务流程处理方法、装置、电子设备和计算机可读介质
KR102575526B1 (ko) * 2021-09-03 2023-09-06 (주)엔토빌소프트 학습한 과거 데이터를 이용하여 분산 서비스 거부 공격을 탐지하는 장치 및 그 방법
CN114978866B (zh) * 2022-05-25 2024-02-20 北京天融信网络安全技术有限公司 一种检测方法、检测装置及电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100818306B1 (ko) * 2006-11-22 2008-04-01 한국전자통신연구원 공격 패킷 시그너처 후보 추출 장치 및 방법
KR101648033B1 (ko) * 2015-04-27 2016-08-16 한국과학기술원 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101177049B1 (ko) * 2010-12-23 2012-08-27 한국인터넷진흥원 휴리스틱 통계정보 기반 비정상 VoIP 트래픽 탐지 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100818306B1 (ko) * 2006-11-22 2008-04-01 한국전자통신연구원 공격 패킷 시그너처 후보 추출 장치 및 방법
KR101648033B1 (ko) * 2015-04-27 2016-08-16 한국과학기술원 공격 패턴이 존재하지 않는 공격 시그니처 기반의 침입 탐지 방법 및 그를 위한 장치

Also Published As

Publication number Publication date
KR20200014968A (ko) 2020-02-12

Similar Documents

Publication Publication Date Title
KR102616173B1 (ko) 비정상 트래픽 탐지 방법 및 그 장치
US7624447B1 (en) Using threshold lists for worm detection
US8201252B2 (en) Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks
EP3073700B1 (en) Malicious attack detection method and apparatus
US9935974B2 (en) Hardware-logic based flow collector for distributed denial of service (DDoS) attack mitigation
US7526807B2 (en) Distributed architecture for statistical overload control against distributed denial of service attacks
CN108063765B (zh) 适于解决网络安全的sdn系统
US7607170B2 (en) Stateful attack protection
US7774849B2 (en) Methods, systems, and computer program products for detecting and mitigating denial of service attacks in a telecommunications signaling network
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
US7681235B2 (en) Dynamic network protection
US9167004B2 (en) Methods and systems for detecting and mitigating a high-rate distributed denial of service (DDoS) attack
US9813448B2 (en) Secured network arrangement and methods thereof
NZ516346A (en) A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack
EP2692096A1 (en) User traffic accountability under congestion in flow-based multi-layer switches
CN108028828B (zh) 一种分布式拒绝服务DDoS攻击检测方法及相关设备
CN104468636A (zh) DDoS威胁过滤与链路重配的SDN架构及工作方法
CN109657463B (zh) 一种报文洪泛攻击的防御方法及装置
EP3932033A1 (en) Methods, systems, and computer readable media for dynamically remediating a security system entity
CN106302001B (zh) 数据通信网络中业务故障检测方法、相关装置及系统
KR20110028106A (ko) 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법
KR101231966B1 (ko) 장애 방지 서버 및 방법
KR20170004052A (ko) 네트워크 트래픽 상태에 기반한 대역폭 관리 방법 및 시스템
JP2008079138A (ja) 通信監視システム、フロー収集装置、解析マネージャ装置及びプログラム
JP2006148778A (ja) パケット転送制御装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant